CVE-2021-20035

SonicWall SMA100 Appliances

ВЕРОЯТНОСТЬ 4.0%
Дата обнаружения

2025-04-16

Официальное описание

SonicWall SMA100 appliances contain an OS command injection vulnerability in the management interface that allows a remote authenticated attacker to inject arbitrary commands as a 'nobody' user, which could potentially lead to code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-20035 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд операционной системы) в интерфейсе управления устройствами SonicWall SMA100.

Проблема заключается в недостаточной фильтрации входных данных, передаваемых через веб-интерфейс управления. Удаленный аутентифицированный злоумышленник может внедрить произвольные системные команды, которые будут выполнены от имени пользователя nobody. Несмотря на ограниченные права этого пользователя, успешная эксплуатация позволяет атакующему закрепиться в системе, исследовать внутреннюю сеть или попытаться повысить привилегии до уровня root, что приведет к полному захвату устройства.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление прошивки (firmware) до версий, в которых ошибка была исправлена производителем.

  1. Определите текущую версию прошивки вашего устройства в панели управления.
  2. Скачайте соответствующее обновление с портала MySonicWall.
  3. Установите обновление для вашей серии устройств:

Для SMA 200, 210, 400, 410 и 500v (Azure, AWS, ESXi, Hyper-V): * Если используется ветка 10.2.1: обновитесь до 10.2.1.2-24sv или выше. * Если используется ветка 10.2.0: обновитесь до 10.2.0.8-37sv или выше. * Если используется ветка 9.0.0: обновитесь до 9.0.0.11-31sv или выше.

Инструкция по обновлению через CLI (для загрузки образа):

copy ftp://user:password@server/path/to/sw_sma100_version.bin firmware

(После загрузки примените обновление через веб-интерфейс или консоль и перезагрузите устройство).

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение доступа к управлению: Настройте правила межсетевого экрана так, чтобы доступ к интерфейсу управления (Management Interface) был разрешен только с доверенных IP-адресов (административная подсеть или Management VLAN).

  2. Использование WAF: Если устройство находится за Web Application Firewall, настройте строгие правила фильтрации для блокировки спецсимволов, характерных для Command Injection (например, ;, &, |, $(), `) в HTTP-запросах к интерфейсу управления.

  3. Мониторинг логов: Настройте экспорт логов на внешний Syslog-сервер или SIEM для обнаружения подозрительной активности.

show log
  1. Смена паролей: Убедитесь, что все учетные записи администраторов используют сложные пароли и включена двухфакторная аутентификация (2FA), чтобы затруднить получение доступа, необходимого для эксплуатации данной уязвимости.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей