发布编号：TACERT-ANA-2021020503020404

发布时间：2021-02-05 15:40:05

事故类型：ANA-漏洞预警

发现时间：2021-02-04 17:33:05

影响等级：低

 

[主旨说明:]

【漏洞预警】SonicWall之SMA 100系列SSL VPN设备存在安全漏洞(CVE-2021-20016)，允许攻击者远端执行任意程式码，请尽速确认并进行更新！

 

[内容说明:]

转发 行政院国家资通安全会报技术服务中心 资安讯息警讯 NISAC-ANA-202102-0283

研究人员发现SonicWall之SMA 100系列SSL VPN设备存在SQL注入漏洞(CVE-2021-20016)，攻击者可利用该漏洞取得帐密资讯，进而获得管理员权限，并可远端执行任意程式码。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

使用10.x韧体版本之SMA 100系列SSL VPN设备如下：

   实体设备：SMA 200、SMA 210、SMA 400及SMA 410

   虚拟设备：SMA 500v

 

[建议措施:]

目前SonicWall官方已针对此漏洞释出更新程式(https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/)，请各机关联络设备维护厂商参考下方步骤进行版本更新：

    1.将设备更新至10.2.0.5-29sv版本，并重置设备上所有帐号之密码，以及启用多因素验证(Multi-Factor Authentication, MFA)功能。

    2.若无法立即更新，可启用WAF功能进行缓解，参考连结：https://www.sonicwall.com/support/knowledge-base/how-to-configure-web-application-firewall-waf-on-the-sma-100-series/210202202221923/

 

[参考资料:]

    1.https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

    2.https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/

    3.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20016

    4.https://www.sonicwall.com/support/knowledge-base/how-to-configure-web-application-firewall-waf-on-the-sma-100-series/210202202221923/

    5.https://www.sonicwall.com/support/knowledge-base/how-to-upgrade-firmware-on-sma-100-series-appliances/170502339501169/

    6.https://www.sonicwall.com/support/knowledge-base/smb-ssl-vpn-upgrading-firmware-on-sma-500v-virtual-appliance/170502851052498/

    7.https://www.sonicwall.com/support/knowledge-base/how-can-i-check-the-current-firmware-version-of-your-sonicwall/170504764898494/

 

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw