A CISA figyelmeztetést adott ki az a SonicWall Secure Mobile Access (SMA) 100 sorozatú eszközök ellen irányuló támadásokkal kapcsolatban. Az érintett rendszerek egy távoli kódfuttatásra alkalmas, magas kockázatú sérülékenységet tartalmaznak, amely lehetőséget biztosít támadók számára a rendszer kompromittálására, minimális jogosultság és alacsony támadási komplexitás mellett.

A CVE-2021-20035 az SMA 200, 210, 400, 410, valamint a 500v virtuális platformokat (ESX, KVM, AWS, Azure) érinti. A sebezhetőség abból fakad, hogy a SMA100 sorozat kezelőfelületének bemeneti validálása nem megfelelő, ami lehetővé teszi, hogy egy hitelesített, de alacsony jogosultságú támadó tetszőleges parancsokat futtasson le a rendszerben a „nobody” felhasználó nevében, ami potenciálisan tetszőleges kódfuttatáshoz vezethet.

Bár a SonicWall a hibát már 2021 szeptemberében javította, akkor még csak szolgáltatásmegtagadással (DoS) járó kihasználási lehetőséget tartottak valószínűsíthetőnek. Most azonban a gyártó frissítette a biztonsági tanúsítványt, jelezve, hogy aktív támadásokban is kihasználják, valamint a CVSS súlyossági pontszámot is közepesről magasra, 7.2-re módosította.

Érintett verziók és javítások:

A CISA a sérülékenységet felvette a KEV (Known Exploited Vulnerabilities) katalógusába, megerősítve, hogy valóban aktívan alkalmazzák éles támadások során. Nyomatékosan javasolja minden hálózatüzemeltetőnek és IT-biztonsági csapatnak, hogy haladéktalanul telepítse a javításokat, hiszen az ilyen típusú sérülékenységek gyakran képezik célzott támadások alapját.

A CVE-2021-20035 nem új sebezhetőség, de a fenyegetettség szintje jelentősen megnőtt azzal, hogy aktív támadások során bizonyítottan kihasználják. A biztonsági javítások mielőbbi telepítése most nem csak ajánlott, hanem kritikus fontosságú minden SMA100 rendszert üzemeltető szervezet számára, legyen szó állami vagy vállalati környezetről.

(forrás, forrás)