SonicWall Secure Mobile Access (SMA) 100系列管理界面远程代码执行漏洞
MS-ISAC咨询编号: 2025-043
发布日期: 2025年4月22日
概述
在SonicWall Secure Mobile Access (SMA) 100管理界面中发现了一个漏洞,可能导致远程代码执行。SonicWall SMA是企业用于提供远程应用访问的统一安全网关。成功利用此漏洞可能导致远程代码执行。
威胁情报
根据SonicWall 2025年4月15日的公告,该漏洞已被发现在野外被积极利用。作为预防措施,SonicWall PSIRT已将CVSS评分从中等提升至高危(7.2)。
受影响系统
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v (ESX, KVM, AWS, Azure)
- 版本10.2.1.0-17sv及更早版本
- 版本10.2.0.7-34sv及更早版本
- 版本9.0.0.10-28sv及更早版本
风险等级
| 用户类型 | 风险等级 |
|---|---|
| 政府机构(大中型) | 高 |
| 政府机构(小型) | 中 |
| 企业(大中型) | 高 |
| 企业(小型) | 中 |
| 家庭用户 | 低 |
技术细节
SonicWall Secure Mobile Access (SMA) 100系列管理界面中存在漏洞,可能导致远程代码执行。漏洞详情如下:
战术: 初始访问(TA0001)
技术: 利用面向公众的应用程序(T1190)
SMA100管理界面中对特殊元素的不当中和处理允许远程认证攻击者以’nobody’用户身份注入任意命令,可能导致代码执行(CVE-2021-20035)。
成功利用此漏洞可能导致远程代码执行。
修复建议
建议采取以下措施:
-
软件更新: 在适当测试后立即应用SonicWall提供的更新(M1051: 更新软件)
-
漏洞管理流程:
- 建立并维护企业资产的漏洞管理流程(保障措施7.1)
- 建立基于风险的修复策略,每月至少审查一次(保障措施7.2)
- 每月至少执行一次自动化应用补丁管理(保障措施7.4)
- 每季度至少执行一次内部企业资产的自动化漏洞扫描(保障措施7.5)
- 每月至少修复一次检测到的漏洞(保障措施7.7)
-
网络基础设施:
- 确保网络基础设施保持最新(保障措施12.1)
- 建立并维护安全的网络架构(保障措施12.2)
-
渗透测试:
- 建立适合企业规模的渗透测试计划(保障措施18.1)
- 每年至少执行一次外部渗透测试(保障措施18.2)
- 根据企业政策修复渗透测试发现的问题(保障措施18.3)
- 对关键应用进行渗透测试(保障措施16.13)
-
权限管理:
- 对所有系统和服务应用最小权限原则(M1026: 特权账户管理)
- 管理企业资产和软件的默认账户(保障措施4.7)
- 建立并维护服务账户清单(保障措施5.5)
-
利用防护:
- 使用功能检测和阻止可能导致软件利用的条件(M1050: 利用防护)
- 尽可能在企业资产和软件上启用反利用功能(保障措施10.5)
-
网络分段:
- 通过网络分段隔离关键系统(M1030: 网络分段)
- 使用DMZ隔离面向互联网的服务
- 配置单独的VPC实例隔离关键云系统