SonicWall SMA 裝置遭攻擊，多個資安漏洞被利用

SonicWall 日前確認旗下 SMA100 Secure Mobile Access (SMA) 裝置的兩個已修補的安全漏洞正在被駭客積極利用。這些漏洞影響多款 SMA 100 系列產品，包括 SMA 200、210、400、410 和 500v 等型號。

第一個漏洞 CVE-2023-44221（CVSS 評分：7.2）是 SMA100 SSL-VPN 管理介面中的指令注入漏洞，允許具有管理權限的遠端認證攻擊者以「nobody」用戶身份注入任意指令。 第二個漏洞 CVE-2024-38475（CVSS 評分：9.8）則存在於 Apache HTTP Server 2.4.59 及更早版本的 mod_rewrite 模組中，攻擊者可利用此漏洞操控 URL，將其對應至伺服器授權的檔案系統路徑。

SonicWall 於 2023 年 12 月 4 日發布修補 CVE-2023-44221 的版本 10.2.1.10-62sv，而 CVE-2024-38475 則在 2024 年 12 月 4 日在版本 10.2.1.14-75sv 修復。 在 2025 年 4 月 29 日的更新中，SonicWall 警告這些漏洞可能正被攻擊者利用，並敦促客戶檢查其 SMA 裝置，確保沒有未授權的登入。

根據 SonicWall 的進一步分析，利用 CVE-2024-38475 漏洞可能導致未授權訪問某些文件，進而使攻擊者能夠進行會話劫持。 目前尚無有關這些漏洞如何被利用、誰可能成為攻擊目標以及攻擊範圍的詳細資料。

美國網路安全和基礎設施安全局（CISA）已於 2025 年 5 月 1 日將這兩個漏洞添加到其已知被利用漏洞（KEV）目錄中，要求聯邦機構在 2025 年 5 月 22 日前修補完成。

網路安全公司 watchTowr Labs 已發布了這兩個漏洞的額外技術細節，並指出攻擊者可能正在鏈接出 CVE-2024-38475 、CVE-2023-44221這兩個漏洞，以洩露當前登錄的管理員會話令牌並執行任意命令。該公司已公開了這一漏洞鏈的概念驗證（PoC）程式碼。

watchTowr CEO Benjamin Harris 在一份聲明中表示：「這些漏洞已在野外被濫用相當一段時間，攻擊者成功入侵這些設備並滲透到高度敏感的組織內部。更令人擔憂的是，這些都是相對基礎的漏洞：CVE-2024-38475 存在於開源 Apache HTTP 網路服務器的 mod_rewrite 模組中，而 CVE-2023-44221 則是一個簡單的命令注入缺陷，此類問題本不應出現在任何企業級解決方案中。」

與此同時，SonicWall 正面臨一連串針對其 VPN 基礎設施的持續威脅。今年 4 月初，該公司曾警告 2021 年的漏洞 CVE-2021-20035 被重新用於對 SMA100 設備的遠端程式碼執行攻擊。自 2025 年 1 月起，此漏洞持續遭到積極利用，並已被美國CISA列入已知被利用漏洞目錄。