CVE-2023-44221

SonicWall SMA100 Appliances

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-05-01

Официальное описание

SonicWall SMA100 appliances contain an OS command injection vulnerability in the SSL-VPN management interface that allows a remote, authenticated attacker with administrative privilege to inject arbitrary commands as a 'nobody' user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-44221 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд ОС) в интерфейсе управления SSL-VPN устройств SonicWall серии SMA100.

Проблема заключается в недостаточной фильтрации входных данных, передаваемых через веб-интерфейс администрирования. Удаленный аутентифицированный злоумышленник с правами администратора может внедрить произвольные системные команды. Хотя выполнение команд происходит от имени непривилегированного пользователя nobody, это создает плацдарм для дальнейшего исследования внутренней сети, проведения атак типа DoS или попыток локального повышения привилегий (Privilege Escalation) до уровня root.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление прошивки (firmware) устройства до актуальной версии, в которой производитель исправил механизмы валидации вводимых данных.

  1. Определите текущую версию прошивки в панели управления (System > Status).
  2. Загрузите исправленную версию с портала MySonicWall.
  3. Примените обновление для вашей модели:

Для SMA 200, 210, 400, 410: Обновитесь до версии 10.2.1.8-41sv или выше.

Для SMA 500v (Azure, AWS, ESXi, Hyper-V): Обновитесь до версии 10.2.1.8-41sv или выше.

Инструкция по обновлению через CLI (если настроен доступ):

copy ftp current-config backup-config


import firmware usb firmware-file-name

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки, следуя принципу наименьших привилегий и сетевой сегментации.

  1. Ограничение доступа к интерфейсу управления: Настройте правила доступа так, чтобы интерфейс управления (Management Interface) был доступен только из доверенных сегментов сети (Management VLAN) или через выделенный VPN-канал, а не из публичного интернета.

  2. Аудит административных учетных записей: Проверьте список всех пользователей с правами администратора. Удалите неиспользуемые учетные записи и убедитесь, что для всех активных аккаунтов включена многофакторная аутентификация (MFA).

  3. Использование WAF: Если устройство находится за Web Application Firewall, настройте сигнатуры для блокировки подозрительных символов в HTTP-запросах к административной панели (например, ;, &, |, $()).

  4. Мониторинг логов: Настройте отправку системных логов на внешний Syslog-сервер или SIEM для обнаружения аномальной активности.

logging remote-log setup
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей