SonicWall Secure Mobile Access (SMA) 100系列管理界面多重漏洞可能导致远程代码执行

MS-ISAC公告编号：2025-046
发布日期：2025/05/05

概述

SonicWall Secure Mobile Access (SMA) 100管理界面发现多个安全漏洞，可能导致远程代码执行。SonicWall SMA是企业用于提供远程应用访问的统一安全网关。攻击者组合利用这些漏洞可实现远程代码执行，进而导致会话劫持和系统完全沦陷。

威胁情报

WatchTowr报告显示CVE-2024-38475和CVE-2023-44221已在真实攻击中被利用。CISA已将这两个漏洞列入已知被利用漏洞目录(KEV)。

受影响系统

• SMA 200
• SMA 210
• SMA 400
• SMA 410
• SMA 500v

风险等级

• 政府机构：中大型政府实体(高危)/小型政府实体(中危)
• 企业：中大型企业(高危)/小型企业(中危)
• 家庭用户：低危

技术细节

漏洞详情如下：

攻击策略：初始访问(TA0001)
技术手段：利用公开应用漏洞(T1190)：

1. SMA100 SSL-VPN管理界面存在特殊元素过滤不当漏洞，具有管理员权限的远程攻击者可注入任意命令(CVE-2023-44221)
2. Apache HTTP Server 2.4.59及更早版本的mod_rewrite存在输出转义缺陷，攻击者可映射URL到服务器允许访问的文件系统位置(CVE-2024-38475)

组合利用这些漏洞可实现远程代码执行。

修复建议

1. 立即应用补丁：测试后立即安装SonicWall提供的更新(M1051)

   • 保障措施7.1：建立并维护漏洞管理流程
   • 保障措施7.2：建立基于风险的修复策略

2. 自动化漏洞管理：

   • 保障措施7.4：每月执行自动化应用补丁管理
   • 保障措施7.5：每季度执行自动化漏洞扫描

3. 网络架构加固：

   • 保障措施12.1：保持网络基础设施更新
   • 保障措施12.2：建立安全网络架构

4. 渗透测试：

   • 保障措施18.1：建立渗透测试计划
   • 保障措施18.2：定期执行外部渗透测试

5. 最小权限原则：

   • 保障措施4.7：管理默认账户
   • 保障措施5.5：维护服务账户清单

6. 应用防护：

   • 保障措施16.13：执行应用渗透测试
   • 保障措施10.5：启用防漏洞利用功能

参考链接

• CISA公告
• CVE-2024-38475
• CVE-2023-44221
• SonicWall安全公告