CVE-2021-20016

SonicWall SSLVPN SMA100

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

SonicWall SSLVPN SMA100 contains a SQL injection vulnerability that allows remote exploitation for credential access by an unauthenticated attacker.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-20016) — это SQL-инъекция в веб-интерфейсе SonicWall SMA 100 (SSL-VPN). Злоумышленник может: * Отправить специально сформированный HTTP-запрос к уязвимому эндпоинту. * Внедрить произвольный SQL-код в запрос к базе данных устройства. * Получить несанкционированный доступ к учетным данным пользователей, хранящимся в базе данных (например, имена, хэши паролей). * В конечном итоге использовать эти данные для компрометации VPN-доступа к корпоративной сети.

Как исправить

Установите официальный патч от SonicWall. Уязвимость устранена в следующих версиях прошивки: * SMA 100 Series: версия 10.2.0.7-34sv и новее.

Порядок действий: 1. Проверьте текущую версию: В веб-интерфейсе администратора перейдите в System > Status. 2. Скачайте патч: Загрузите корректную версию прошивки с портала MySonicWall (требуется учетная запись с действующей подпиской). 3. Установите обновление: В веб-интерфейсе перейдите в System > Settings > Firmware & Licenses. * Нажмите Browse... и выберите скачанный файл прошивки. * Нажмите Upload. * После загрузки файла нажмите Install. 4. Перезагрузите устройство: Установка завершится автоматической перезагрузкой. Дождитесь полного включения.

Важно: Перед обновлением создайте резервную копию конфигурации (System > Settings > Backup/Restore > Backup Now).

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу:

    • Настройте брандмауэр (на маршрутизаторе выше или на самом SMA) так, чтобы доступ к портам веб-интерфейса SMA (по умолчанию TCP/443 и TCP/80) был разрешен только с доверенных IP-адресов (например, из сети администраторов). ```bash

    Пример iptables для маршрутизатора Linux, защищающего SMA

    (Замените 192.168.1.100 на IP вашего SMA, 10.0.0.0/24 на сеть администраторов)

    iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 443 -s 10.0.0.0/24 -j ACCEPT iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 443 -j DROP ```

  2. Настройте WAF (Web Application Firewall):

    • Разместите SMA за WAF (например, Cloudflare, Imperva, или аппаратным решением).
    • Активируйте правило для блокировки SQL-инъекций (обычно называется "SQLi Prevention").
    • Настройте WAF на проверку и блокировку запросов, содержащих типичные для SQL-инъекций шаблоны (UNION SELECT, ' OR '1'='1, ; DROP, EXEC, кавычки, двойные тире).

  3. Повысьте мониторинг:

    • Включите детальное логирование на SMA (Log > Categories).
    • Настройте SIEM-систему на оповещение о множественных неудачных попытках входа или подозрительных HTTP-запросах к эндпоинтам устройства.
    • Регулярно проверяйте логи на наличие аномальной активности.

Временные меры не заменяют установку патча. Запланируйте и выполните обновление как можно скорее.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей