多重漏洞分析:SonicWall Secure Mobile Access (SMA) 100系列管理界面远程代码执行风险
MS-ISAC 公告编号:2025-046
发布日期:2025年5月5日
概述
在SonicWall Secure Mobile Access (SMA) 100管理界面中发现多个漏洞,可能允许远程代码执行。SonicWall Secure Mobile Access (SMA)是一种统一安全访问网关,组织使用它为员工提供从任何地方访问应用程序的能力。成功利用这些漏洞(当组合使用时)可能允许远程代码执行,从而导致会话劫持和完全系统妥协。
威胁情报
WatchTowr报告CVE-2024-38475和CVE-2023-44221已经在实际攻击中被利用,这使得受影响的组织必须立即意识到并采取行动。CISA还将这两个漏洞添加到已知被利用漏洞目录(KEV)中。
受影响系统
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户:低
技术详情
在SonicWall Secure Mobile Access (SMA) 100管理界面中发现多个漏洞,可能允许远程代码执行。
漏洞详情如下:
战术:初始访问(TA0001)
技术:利用面向公众的应用程序(T1190)
-
CVE-2023-44221:SMA100 SSL-VPN管理界面中特殊元素的不当中和允许具有管理权限的远程认证攻击者以’nobody’用户身份注入任意命令,可能导致操作系统命令注入漏洞。
-
CVE-2024-38475:Apache HTTP Server 2.4.59及更早版本中mod_rewrite的输出转义不当,允许攻击者将URL映射到服务器允许提供的文件系统位置。
成功利用这些漏洞(当组合使用时)可能允许远程代码执行,从而导致会话劫持和完全系统妥协。
修复建议
我们建议采取以下行动:
-
应用软件更新:在经过适当测试后立即应用SonicWall为易受攻击系统提供的适当更新。(M1051:更新软件)
- 保障措施7.1:建立和维护企业资产的漏洞管理流程
- 保障措施7.2:建立和维护基于风险的修复策略
- 保障措施7.4:执行自动化应用程序补丁管理
- 保障措施7.5:执行内部企业资产的自动化漏洞扫描
- 保障措施7.7:修复检测到的漏洞
- 保障措施12.1:确保网络基础设施保持最新
- 保障措施18.1:建立和维护渗透测试计划
- 保障措施18.2:执行定期外部渗透测试
- 保障措施18.3:修复渗透测试发现的问题
-
应用最小权限原则:对所有系统和服务应用最小权限原则。以非特权用户(没有管理权限的用户)身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)
- 保障措施4.7:管理企业资产和软件上的默认账户
- 保障措施5.5:建立和维护服务账户清单
-
漏洞扫描:使用漏洞扫描来发现可能被利用的软件漏洞并进行修复。(M1016:漏洞扫描)
- 保障措施16.13:执行应用程序渗透测试
-
网络分段:架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用DMZ来包含任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云(VPC)实例来隔离关键云系统。(M1030:网络分段)
- 保障措施12.2:建立和维护安全的网络架构
-
利用保护:使用功能来检测和阻止可能导致或指示软件利用发生的条件。(M1050:利用保护)
- 保障措施10.5:启用反利用功能
参考资源
- CISA:https://www.cisa.gov/news-events/alerts/2025/05/01/cisa-adds-two-known-exploited-vulnerabilities-catalog?ref=labs.watchtowr.com
- CVE:
- Hacker Read:https://hackread.com/watchtowr-exploits-target-sonicwall-sma-100-devices/
- SonicWall: