Arctic Wolf研究人员警告称,自2025年1月起,威胁攻击者持续利用SonicWall安全移动接入(SMA)设备中编号为CVE-2021-20035(CVSS评分7.1)的漏洞展开攻击。该漏洞是SMA100管理界面存在的操作系统命令注入缺陷,远程认证攻击者可借此以'nobody'用户身份执行任意命令,最终可能导致任意代码执行。
"由于SMA100管理界面未正确过滤特殊元素,经认证的远程攻击者能够以'nobody'用户权限注入恶意命令,进而实现代码执行。"安全公告指出。该漏洞影响SMA 200/210/400/410及500v系列设备,厂商已于2021年9月发布补丁。攻击者可利用此漏洞发起拒绝服务(DoS)攻击使设备瘫痪。
本周,美国网络安全和基础设施安全局(CISA)将此漏洞列入已知可利用漏洞(KEV)目录,要求联邦机构在2025年5月7日前完成修复。SonicWall随后更新公告,确认该漏洞已被野外利用。
Arctic Wolf发现,2025年1月至4月期间,某攻击活动持续针对SonicWall SMA 100系列设备窃取VPN凭证。攻击者利用默认超级管理员账户(admin@LocalDomain)实施入侵,该账户往往仍使用弱默认密码"password"。报告强调:"即使设备已完全打补丁,若密码管理不善仍可能沦陷。"研究团队已共享攻击指标(IoC),并建议采取以下防护措施:限制VPN访问、停用闲置账户、启用多因素认证,以及重置SMA防火墙所有本地账户密码。
原文始发于微信公众号(黑猫安全):攻击者自2025年1月起利用SonicWall SMA设备发起攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论