黑客们正在利用SonicWall的设备中一个关键的零日

网络安全提供商SonicWall周一表示，黑客正在其销售的一款设备上利用一个关键的零日漏洞。

SonicWall在一份声明中表示，安全漏洞存在于安全移动接入100系列建议于周一更新．该漏洞，影响SMA 100固件10。在周二结束之前不会收到修复程序。

周一更新数据的前一天，安全公司NCC Group发布了这一消息在推特上说它发现了“在野外滥用漏洞的行为”。NCC的推文提到了SonicWall咨询报告的一个早期版本，该报告称其研究人员“发现了一次针对其内部系统的协同攻击，由高度复杂的威胁行为者利用某些SonicWall安全远程访问产品上可能存在的零日漏洞进行攻击。”

在一封电子邮件中，NCC集团的一位发言人写道:“我们的团队已经观察到有人试图利用一个影响SonicWall SMA 100系列设备的漏洞的迹象。我们正在与SonicWall密切合作，更深入地调查这一问题。”

在周一的更新中，SonicWall的代表表示，公司的工程团队证实，NCC集团提交的文件中包含了SMA 100系列10的“关键零日”。x代码。声波墙正在追踪它snwlid - 2021 - 0001．的SMA 100系列是一款安全远程接入设备。

这一披露使SonicWall成为最近几周至少第五家报告遭到老练黑客攻击的大公司。其他公司包括网络管理工具提供商SolarWinds、微软、FireEye和Malwarebytes。CrowdStrike也称自己成为了攻击目标，但称攻击并不成功。

SonicWall和NCC集团均表示，涉及SonicWall零日的黑客攻击与涉及SolarWinds的更大规模的黑客攻击活动有关。然而，根据披露的时间和其中的一些细节，人们普遍猜测这两者是有联系的。

NCC Group拒绝在零日漏洞修复前提供更多细节，以防止漏洞被进一步利用。

使用SonicWall的SMA 100系列产品的用户应该仔细阅读该公司的建议，并在发布修复程序之前遵循确保产品安全的临时说明。其中最主要的:

1. 如果您必须继续操作SMA 100系列器具，直到有补丁可用
   • 启用MFA。在补丁可用之前，这是一个“CRITICAL”步骤。
   • 用10重置使用SMA 100系列的用户密码。X固件
2. 如果SMA 100系列(10.x)位于防火墙之后，则在防火墙上阻止对SMA 100的所有访问;
3. 关闭SMA 100系列设备(10.x)，直到有补丁可用;或
4. 加载固件版本9。X后重新启动出厂默认设置。请备份你的10个。x设置*
   • 重要提示:直接降级固件10。x 9。不支持设置完整的X。您必须首先重新启动设备的出厂默认设置，然后加载一个备份的9。配置或重新配置SMA 100从头开始。
   • 如果选择安装9.x，请确保遵循多因素身份验证(MFA)最佳实践安全指导。
   • SonicWall防火墙和SMA 1000系列设备，以及所有相应的VPN客户端都不受影响，可以安全使用。

这篇文章修正了对SMA 100的描述。