資安廠商 NCC Group 旗下的資安專家日前指出,由SonicWall 生產的 SMA 100 系列網通產品,內含的一個 0-day 漏洞,恐已遭駭侵者大規模用以發動攻擊。
NCC Groups 首先在 Twitter 上發表簡短推文,指出該公司已經觀察到利用 SonicWall SMA 100 系列 0-day 漏洞的大規模攻擊行動,同時也將該 0-day 漏洞的分析報告提報給 SonicWall。
美國主管資安事務的資安與基礎設施安全局(Cybersecurty and Infrastructure Security Agency)也在隨後發布資安通報,指出該局已接獲相關通報。CISA 也說該局正在密切注意相關漏洞的調查進度。
這波攻擊事件最早始於 1 月 22 日,SonicWall 對外公開該公司遭到攻擊;當時該公司指出,其內部網路很可能因為該公司特定網通產品的 0-day 漏洞而遭到攻擊;存有此一漏洞的裝置,很可能就是 SMA 100 系列,包括 SMA 200、SMA 210、SMA 400、SMA 410、SAM 500V。
數日後 NCC Group 在推文中指出,該公司發現了 0-day 漏洞的存在,以及發現大規模攻擊行動,但並未公布太多細節;隨後 SonicWall 更新其資安通報,明確指出 SMA 100 版本 10.x 的實體和虛擬產品都含有這個 0-day 漏洞。
SonicWall 指出,該公司正在積極開發新版韌體,預計在二月初即可釋出;用戶可暫時先將使用中的 SMA 100 系列機種,在備份設定值後降版到 9.x 版,同時檢查通訊記錄中是否有不明 IP 連線,如果不確定的話,應將 SMA 100 置於防火牆內,並且關閉一切對外連線。如有二階段登入驗證,也應立即啟用。
- 影響產品/版本:SonicWall SMA 100 系列,包括 SMA 200、SMA 210、SMA 400、SMA 410、SAM 500V。
- 解決方案:暫時降版至 9.x,待 SonicWall 推出新版韌體後再行升級,同時檢查是有曾有不明 IP 連線記錄。
本文轉載自TWCERT/CC。