トップ セキュリティ情報 2020年度 【注意喚起】SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起

【注意喚起】SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起

2021年2月22日 南大沢 日野 荒川

SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起がありました。

Ⅰ.概要
 2021年2月3日(米国時間)、SonicWall社は同社製SMA100シリーズの脆弱性(CVE-2021-20016)
 に関する情報を公開しました。脆弱性を悪用された場合、結果として遠隔の第三者が認証情報を窃取
 するなどの可能性があります。詳細については、SonicWall社が提供する情報を確認してください。

  SonicWall
  Confirmed Zero-day vulnerability in the SonicWall SMA100 build version 10.x

 なお、同社は2021年1月22日に、本脆弱性の悪用による被害を受けたことを公表しています。
 すでに脆弱性を悪用したとみられる攻撃に関する情報が公開されており、悪用された場合、同製品
 を経由して組織内のネットワークへの侵入などが行われ、更なる被害に繋がる可能性があります。

 本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認や対策あるいは回避策適用
 などの対応を実施することを推奨します。

Ⅱ.対象
 対象となる製品とバージョンは次のとおりです。

 ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品
  - SMA 200
  - SMA 210
  - SMA 400
  - SMA 410
  - SMA 500v

 なお、SonicWall社によると、バージョン 10系より前のファームウェアは、本脆弱性の影響を
 受けないとのことです。

Ⅲ.対策
 本脆弱性を修正した次のバージョンが公開されています。修正済みバージョンの適用をご検討
 ください。

  - 10.2.0.5-d-29sv

 なお、SonicWall社によるとHyper-V、ESXi、Azure、AWS用のSMA 500vの修正済みイメージは
 準備出来次第提供予定であり、AWSとAzure marketplaceへの提供までに数週間程度かかること
 が予想されています。

 また、すでに同製品が攻撃の被害を受け、認証情報が窃取されている可能性があることから、
 修正済みバージョンの適用とあわせて、次の対策を実施することが推奨されています。

  - Webインターフェースを通じてログインする全ユーザーのパスワードリセット
  - MFA(多要素認証)の有効化

** 更新: 2021年2月22日追記 *******************************************
 2021年2月19日(現地時間)、SonicWall社は、SMA 100シリーズ製品向けのファームウェア9系
 および10系の下記バージョンを公開しました。

  - ファームウェア 10系 10.2.0.6-32sv
  - ファームウェア 9系 9.0.0.10-28sv

 SonicWall社は、修正済みバージョン(10.2.0.5-d-29sv)に更新している場合でも、同系の
 ファームウェアを利用している場合は、速やかにバージョンアップを行うことを推奨しています。
 また新たなバージョンと本脆弱性との関係性などの詳細は、公開されておらず不明です。
 詳細は、SonicWall社の情報を参照してください。

 SonicWall
 Additional SMA 100 Series 10.x and 9.x Firmware Updates Required [Updated Feb. 19, 2 P.M. CST]
***********************************************************************

Ⅳ.回避策
 回避策として、先述のMFA(多要素認証)の有効化とパスワードリセットが挙げられています。

 また、修正済みバージョン適用までの間、同製品に内蔵するWeb Application Firewall(WAF)機能
 を有効にすることで、脆弱性の影響を軽減可能であるとの情報が公開されています。SonicWall社は、
 10系のバージョンで稼働する製品の登録された利用者に対して、WAF機能のライセンスを無償で
 60日間提供するとのことです。

  SonicWall
  How to Configure Web Application Firewall (WAF) on the SMA 100 Series?

Ⅴ.侵害有無の調査
** 更新: 2021年2月8日追記 ********************************************
 2021年1月31日(現地時間)、本脆弱性の発見者であるNCC Groupに所属する、Rich Warren氏は
 侵害調査の参考となるIOC情報を公開しました。

 1. 管理用インターフェースへのアクセスにおける認証回避

 アクセスログから /cgi-bin/management へのリクエストを検索し、当該ログの前に
 /__api__/v1/logon、または /__api__/v1/logon/<id>/authenticate へのリクエストが成功
 していない場合は、第三者により認証を回避され管理用インターフェースへアクセスが行われた
 可能性があります。

 2. ユーザー用インターフェースへのアクセスにおける認証回避

 アクセスログから /cgi-bin/sslvpnclient、または /cgi-bin/portal へのリクエストを検索し、当該ログ
 の前に /cgi-bin/userLogin や/__api__/v1/logon、または /__api__/v1/logon/<id>/authenticate
 へのリクエストが成功していない場合は、第三者により認証を回避されユーザー用インターフェース
 へアクセスが行われた可能性があります。

  Rich Warren@buffaloverflow
  https://twitter.com/buffaloverflow/status/1355874671347044354
  https://twitter.com/buffaloverflow/status/1355876985726242819

  Bleeping Computer
  SonicWall fixes actively exploited SMA 100 zero-day vulnerability
***********************************************************************

Ⅵ.参考情報
  SonicWall
  SonicWall Publishes Critical Patch for SMA 100 Series 10.X Zero-Day Vulnerability
  
  SonicWall
  Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]
  
  SonicWall
  SonicWall SMA 100 Series Security Best Practice Guide

________
改訂履歴
2021-02-04 初版
2021-02-08 「V. 侵害有無の調査」の追加
2021-02-22 「III. 対策」の更新

ページ上部へ戻る