トップ セキュリティ情報 2020年度 【注意喚起】SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起

【注意喚起】SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起

2021年2月9日 南大沢 日野 荒川

SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起がありました。

Ⅰ.概要
 2021年2月3日(米国時間)、SonicWall社は同社製SMA100シリーズの脆弱性(CVE-2021-20016)
 に関する情報を公開しました。脆弱性を悪用された場合、結果として遠隔の第三者が認証情報を窃取
 するなどの可能性があります。詳細については、SonicWall社が提供する情報を確認してください。

 SonicWall
 Confirmed Zero-day vulnerability in the SonicWall SMA100 build version 10.x

 なお、同社は2021年1月22日に、本脆弱性の悪用による被害を受けたことを公表しています。
 既に脆弱性を悪用したとみられる攻撃に関する情報が公開されており、悪用された場合、同製品
 を経由して組織内のネットワークへの侵入などが行われ、更なる被害に繋がる可能性があります。

 本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認や対策あるいは回避策適用
 などの対応を実施することを推奨します。


Ⅱ.対象
 対象となる製品とバージョンは次のとおりです。

 ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品
  - SMA 200
  - SMA 210
  - SMA 400
  - SMA 410
  - SMA 500v

 なお、SonicWall社によると、バージョン 10系より前のファームウェアは、本脆弱性の
 影響を受けないとのことです。


Ⅲ.対策
 本脆弱性を修正した次のバージョンが公開されています。修正済みバージョンの適用を
 ご検討ください。

  - 10.2.0.5-d-29sv

 なお、SonicWall社によるとHyper-V、ESXi、Azure、AWS用のSMA 500vの修正済みイメージは
 準備出来次第提供予定であり、AWSとAzure marketplaceへの提供までに数週間程度かかること
 が予想されています。

 また、すでに同製品が攻撃の被害を受け、認証情報が窃取されている可能性があることから、
 修正済みバージョンの適用と合わせて、次の対策を実施することが推奨されています。

  - Webインターフェースを通じてログインする全ユーザーのパスワードリセット
  - MFA(多要素認証)の有効化


Ⅳ.回避策
 回避策として、先述のMFA(多要素認証)の有効化とパスワードリセットが挙げられています。

 また、修正済みバージョン適用までの間、同製品に内蔵するWeb Application Firewall(WAF)機能
 を有効にすることで、脆弱性の影響を軽減可能であるとの情報が公開されています。SonicWall社は、
 10系のバージョンで稼働する製品の登録された利用者に対して、WAF機能のライセンスを無償で
 60日間提供するとのことです。

 SonicWall
 How to Configure Web Application Firewall (WAF) on the SMA 100 Series?


Ⅴ.侵害有無の調査
 ** 更新: 2021年2月8日追記 ********************************************
 2021年1月31日(現地時間)、本脆弱性の発見者であるNCC Groupに所属する、Rich Warren氏は
 侵害調査の参考となるIOC情報を公開しました。

 1. 管理用インターフェースへのアクセスにおける認証回避

 アクセスログから/cgi-bin/managementへのリクエストを検索し、当該ログの前に /__api__/v1/logon、
 または /__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により
 認証を回避され管理用インターフェースへアクセスが行われた可能性があります。

 2. ユーザー用インターフェースへのアクセスにおける認証回避

 アクセスログから/cgi-bin/sslvpnclient、または/cgi-bin/portalへのリクエストを検索し、当該ログ
 の前に /cgi-bin/userLoginや/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticate
 へのリクエストが成功していない場合は、第三者により認証を回避されユーザー用インターフェース
 へアクセスが行われた可能性があります。

 Rich Warren@buffaloverflow
 https://twitter.com/buffaloverflow/status/1355874671347044354
 https://twitter.com/buffaloverflow/status/1355876985726242819

 Bleeping Computer
 SonicWall fixes actively exploited SMA 100 zero-day vulnerability

 ***********************************************************************


Ⅵ.参考情報
 SonicWall
 SonicWall Publishes Critical Patch for SMA 100 Series 10.X Zero-Day Vulnerability

 SonicWall
 Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]

 SonicWall
 SonicWall SMA 100 Series Security Best Practice Guide

________
改訂履歴
2021-02-04 初版
2021-02-08 「V. 侵害有無の調査」の追加

ページ上部へ戻る