网络安全供应商SonicWall周一表示,黑客正在利用其销售的一款设备的一个关键零日漏洞。
SonicWall在一份报告中表示,安全漏洞存在于Secure Mobile Access 100系列中周一更新的警告.该漏洞影响SMA 100固件10。x code,预计在周二结束之前不会收到修复。
在周一发布最新消息的前一天,安全公司NCC Group在推特上说它发现了“在野外肆无忌惮地使用一种漏洞”。NCC的推文提到了SonicWall的早期版本,该版本称其研究人员“发现了对其内部系统的协同攻击,攻击者是高度老练的威胁分子,利用某些SonicWall安全远程访问产品上可能的零日漏洞。”
根据@SonicWall咨询- - - - - -https://t.co/teeOvpwFMD-我们已经识别并演示了针对所描述漏洞的一个可能候选漏洞的可利用性,并将详细信息发送给SonicWall -我们还看到了在野外任意使用漏洞的迹象-检查日志
- NCC集团研究与技术(@NCCGroupInfosec)2021年1月31日
NCC集团发言人在一封电子邮件中写道:“我们的团队已经观察到有人试图利用SonicWall SMA 100系列设备的漏洞。我们正与SonicWall密切合作,进行更深入的调查。”
在周一的更新中,SonicWall的代表表示,该公司的工程团队证实,NCC Group提交的SMA 100系列10中包含了“关键零日”。x代码。声波墙正在追踪它snwlid - 2021 - 0001.的SMA 100系列是一系列安全的远程访问设备。
这一披露使SonicWall成为近几周来至少第五家报告受到老练黑客攻击的大型公司。其他公司包括网络管理工具提供商SolarWinds、微软、FireEye和Malwarebytes。CrowdStrike也报告称遭到袭击,但称袭击没有成功。
SonicWall和NCC集团都没有表示,涉及SonicWall零日的黑客攻击与涉及太阳风的更大规模黑客攻击活动有关。然而,根据披露的时间和其中的一些细节,人们普遍猜测这两者是有关联的。
为了防止该漏洞被进一步利用,NCC集团在修复零日之前拒绝提供更多细节。
使用SonicWall的SMA 100系列产品的用户应该仔细阅读该公司的建议,并在发布补丁前遵循应急说明确保产品安全。其中最主要的:
- 如果您必须继续操作SMA 100系列设备,直到有补丁可用
- 启用MFA。在补丁可用之前,这是一个“关键”步骤。
- 重置使用SMA 100系列的用户密码。X固件
- 如果SMA 100系列(10.x)在防火墙后,请在防火墙上阻止对SMA 100的所有访问;
- 关闭SMA 100系列设备(10.x),直到有补丁可用;或
- 加载固件版本9。重新启动出厂默认设置后。请备份你的10。x设置*
- 重要提示:固件10的直接降级。x 9。不支持设置完整的X。您必须首先以出厂默认值重新启动设备,然后加载备份的9。x配置或重新配置SMA 100从零开始。
- 如果选择安装9.x,请确保遵循多因素身份验证(MFA)最佳实践安全指南。
- SonicWall防火墙和SMA 1000系列设备,以及所有各自的VPN客户端,都不受影响,仍然可以安全使用。
这篇文章被更新,以纠正对SMA 100的描述。
你必须登录或创建帐户置评。