吳明宜SonicWall 行動閘道產品竟藏有零時差漏洞 導致公司內部網路遭駭入
SonicWall 周末發出緊急安全公告,指其遠端存取閘道產品一個疑為零時差的漏洞遭到攻擊而被駭其內部網站。
SonicWall 指出,該公司發現內部系統遭到「進階的威脅行動者」利用 SonicWall 遠端存取產品可能的零時差漏洞進行協同式攻擊。被駭入的是中小企業用的 Secure Mobile Access (SMA) 100。
The Hacker News 報導,SonicWall 內部系統上周二首次斷線,而代管在 GitLab 儲存庫的原始碼也被攻擊者存取。此外,SC Media 也引述消息人士報導,SonicWall 發生嚴重的駭入事件。但是 SonicWall 並未回應媒體詢問,而是於周五晚間發出正式緊急公告。
本來 SonicWall 於周五指出,NetExtender VPN 用戶端軟體以及執行 SMA10.x 軟體的 SMA200、210、400、410 實體設備及 SMA500v 虛擬設備也被影響。不過該公司經過調查,周末又澄清 NetExtender VPN 軟體和前述設備皆未受影響。用戶和合作夥伴不用採取任何行動,仍然能利用 NetExtender 軟體存取遠端資源。
SMA 1000 系列則完全不受影響。SMA 1000 系列使用的用戶端程式也非 NetExtender。另外,SonicWall 防火牆各代產品、無線路由器 SonicWall SonicWave AP 也都安全無虞。
SonicWall 並未對漏洞多加解釋,表示仍在持續調查中。但 SonicWall 建議 SMA 100 系列管理員建立明確的存取規則或關閉 Virtual Office 以及從 Internet 的 HTTPS 管理員權限存取通道。SonicWall 稍早也建議 SMA 100 系列的合作夥伴及客戶僅可允許白名單/已知 IP 以 SSL VPN 連線存取 SMA 裝置,或直接在 SMA 裝置上設定存取白名單。
此外 SonicWall 也拒絕回應這起內部系統攻擊和在 SolarWinds Orion 注入木馬程式的駭客集團是不是同一幫人。另外 ZDNet 則報導,安全專家門則判斷 SonicWall 可能遭勒索軟體攻擊。