SonicWall: analisi tecnica per arginare le vulnerabilità della serie SMA 100

La vulnerabilità CVE-2021-20035 riguarda i dispositivi SonicWall Secure Mobile Access (SMA) serie 100, utilizzati per fornire accesso remoto sicuro alle reti aziendali. Questa falla di sicurezza, inizialmente classificata con un punteggio CVSS di 6.5, è stata successivamente rivalutata a 7.2 a causa della sua gravità e del suo sfruttamento attivo.

Dettagli Tecnici

La vulnerabilità è causata da una neutralizzazione impropria di elementi speciali nell’interfaccia di gestione dei dispositivi SMA100. Un attaccante autenticato può sfruttare questa falla per eseguire comandi arbitrari come utente “nobody”, potenzialmente portando all’esecuzione di codice remoto (RCE) .

Dispositivi e versioni interessate:

  • SMA 200, 210, 400, 410, 500v (ESX, KVM, AWS, Azure)
  • Versioni firmware:
    • 10.2.1.0-17sv e precedenti
    • 10.2.0.7-34sv e precedenti
    • 9.0.0.10-28sv e precedenti

Sfruttamento Attivo

Recentemente, è stato rilevato uno sfruttamento attivo di questa vulnerabilità. Gli attaccanti utilizzano tecniche come il password stuffing e il brute force per ottenere credenziali valide, sfruttando poi la vulnerabilità per eseguire codice arbitrario. In particolare, è stato evidenziato l’uso dell’account predefinito “admin@LocalDomain” con password “password”, creato automaticamente durante l’installazione iniziale del sistema.

Mitigazioni Consigliate

Per proteggere i sistemi, si raccomandano le seguenti azioni:

  1. Aggiornamento Firmware: Applicare immediatamente gli aggiornamenti forniti da SonicWall:
    • 10.2.1.1-19sv o versioni successive
    • 10.2.0.8-37sv o versioni successive
    • 9.0.0.11-31sv o versioni successive
  2. Gestione delle Credenziali:
    • Modificare le password predefinite degli account locali.
    • Implementare password robuste e uniche.
    • Abilitare l’autenticazione a più fattori (MFA) per tutti gli account utente.
  3. Restrizioni di Accesso:
    • Limitare l’accesso VPN solo agli account strettamente necessari.
    • Evitare di esporre le interfacce di gestione direttamente su Internet.
  4. Monitoraggio e Analisi:
    • Monitorare i log di accesso per rilevare attività sospette.
    • Eseguire scansioni di vulnerabilità periodiche per identificare e correggere eventuali falle di sicurezza.

Approfondimenti

La vulnerabilità CVE-2021-20035 rappresenta una minaccia significativa per i dispositivi SonicWall SMA 100. Il suo sfruttamento attivo sottolinea l’importanza di mantenere i sistemi aggiornati e di adottare pratiche di sicurezza robuste. Implementando le mitigazioni sopra descritte, le organizzazioni possono ridurre significativamente il rischio associato a questa vulnerabilità.