SonicWall Secure Mobile Access (SMA) 100系列管理界面漏洞可能导致远程代码执行

MS-ISAC 咨询编号：2025-043
发布日期：2025年4月22日

概述

在SonicWall Secure Mobile Access (SMA) 100管理界面中发现了一个漏洞，可能允许远程代码执行。SonicWall Secure Mobile Access (SMA)是组织用于为员工提供从任何地方访问应用程序的统一安全访问网关。成功利用此漏洞可能允许远程代码执行。

威胁情报

根据SonicWall在2025年4月15日的声明，此漏洞被认为在野外被积极利用。作为预防措施，SonicWall PSIRT已将CVSS评分从中等严重性升级为高严重性（7.2）。

受影响系统

• SMA 200
• SMA 210
• SMA 400
• SMA 410
• SMA 500v (ESX, KVM, AWS, Azure)
• 版本10.2.1.0-17sv及更早版本
• 版本10.2.0.7-34sv及更早版本
• 版本9.0.0.10-28sv及更早版本

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：中

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户：低

技术摘要

在SonicWall Secure Mobile Access (SMA) 100系列管理界面中发现了一个漏洞，可能允许远程代码执行。

漏洞详情如下：

战术：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）

SMA100管理界面中特殊元素的不当中和允许远程认证攻击者以’nobody’用户身份注入任意命令，这可能潜在地导致代码执行。（CVE-2021-20035）

成功利用此漏洞可能允许远程代码执行。

修复建议

我们建议采取以下措施：

1. 应用适当更新：在适当测试后立即为易受攻击的系统应用SonicWall提供的适当更新。（M1051：更新软件）

   • 保障措施7.1：建立和维护企业资产的漏洞管理流程
   • 保障措施7.2：建立和维护修复流程
   • 保障措施7.4：执行自动化应用程序补丁管理
   • 保障措施7.5：执行内部企业资产的自动化漏洞扫描
   • 保障措施7.7：修复检测到的漏洞
   • 保障措施12.1：确保网络基础设施是最新的

2. 实施最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户身份运行所有软件（没有管理权限），以减少成功攻击的影响。（M1026：特权账户管理）

   • 保障措施4.7：管理企业资产和软件上的默认账户
   • 保障措施5.5：建立和维护服务账户清单

3. 漏洞扫描：使用漏洞扫描来发现可能可利用的软件漏洞并进行修复。（M1016：漏洞扫描）

   • 保障措施16.13：进行应用程序渗透测试

4. 网络分段：架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。（M1030：网络分段）

   • 保障措施12.2：建立和维护安全的网络架构

5. 利用保护：使用功能来检测和阻止可能导致或表明软件利用发生的条件。（M1050：利用保护）

   • 保障措施10.5：启用反利用功能

渗透测试建议

• 保障措施18.1：建立和维护渗透测试计划
• 保障措施18.2：执行定期外部渗透测试
• 保障措施18.3：修复渗透测试发现的问题

参考资料

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-20035
• SonicWall：https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0022

订阅更新

获取此类网络威胁出现时的电子邮件更新，订阅咨询信息中心。