CVE-2021-20038

Суть уязвимости

Неаутентифицированный удаленный злоумышленник может отправить специально сформированный HTTP-запрос к веб-интерфейсу устройства SonicWall SMA 100. Это вызывает переполнение буфера в стеке памяти, что может привести к выполнению произвольного кода злоумышленником и полному захвату контроля над устройством.

Как исправить

Установите исправленную версию прошивки для вашего устройства SMA 100. Необходимая версия зависит от вашей текущей ветки ПО.

• Для устройств на ветке 10.x: Обновитесь до версии 10.2.0.7-37sv или новее.
• Для устройств на ветке 9.x: Обновитесь до версии 9.0.0.10-28sv или новее.

Порядок действий: 1. Скачайте корректный файл обновления (.sfw) с портала MySonicWall. 2. В веб-интерфейсе вашего SMA перейдите в раздел System > Settings. 3. В подразделе Firmware & Licenses нажмите Firmware Update. 4. Загрузите скачанный файл и следуйте инструкциям для установки. Устройство перезагрузится.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к веб-интерфейсу управления устройством (HTTPS, порт по умолчанию 443).

1. Ограничьте доступ по IP:

   • В веб-интерфейсе SMA перейдите в System > Administrators > Access Control.
   • Настройте правила Management Access так, чтобы разрешать подключение к интерфейсу управления только с доверенных IP-адресов или сетей (например, только из внутренней сети офиса или через VPN). Заблокируйте доступ с адресов 0.0.0.0/0 (весь интернет).

2. Используйте внешние средства защиты (рекомендуется в дополнение):

   • Настройте правила на периметровом межсетевом экране (например, вышестоящем SonicWall NSa) или WAF, чтобы блокировать все входящие подключения на порт 443/TCP вашего SMA 100 из интернета.
   • Разрешите доступ только из определенных доверенных сетей.

   Пример правила для межсетевого экрана (концептуальный): Запретить: Источник: Any, Назначение: <WAN-IP SMA>, Служба: HTTPS Разрешить: Источник: <IP-адрес офиса/VPN>, Назначение: <WAN-IP SMA>, Служба: HTTPS