LOGG INNTRUSSELVURDERING (TLP:CLEAR)
[JustisCERT-varsel] [#007-2021] [TLP:CLEAR] Mulig nulldagssårbarhet i SonicWall SMA 100-serien
25-01-2021
JustisCERT ønsker å varsle om en mulig nulldagssårbarhet i SonicWall Secure Mobile Access (SMA) 100-serien [1]. Undersøkelser pågår fremdeles hos SonicWall for å avdekke omfanget og i hvilken grad SMA 100-serien er berørt. Det er p.t ikke kjent med aktiv utnyttelse av denne sårbarheten i Norge.
SonicWall har bekreftet at følgende produkter ikke er berørt:
- SonicWall Firewalls
- NetExtender VPN Client
- SonicWall SonicWave APs
- SMA 1000-serien
Berørte produkter er blant annet:
- SonicWall Secure Mobile Access (SMA) 100-serien
Anbefalinger:
- Deaktiverer Virtual Office frem til SonicWall har publisert sikkerhetsoppdatering som retter feilen
- Deaktiverer all administratortilgang fra internett
- Begrens hvilke IPer som kan administrere løsningen til kun de faste interne IPene som administratorene av løsningen benytter
- Aktiver 2-faktor/multifaktor autentisering (MFA) for alle internetteksponerte tjenester
- Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
- Undersøk loggene for uønsket trafikk til/fra SonicWall-løsningen (f.eks. land det ikke normalt skal komme trafikk)
- Aktiver IPS-signaturer/annen beskyttelse i brannmurer som kan bidra til å beskytte internetteksponerte løsninger
- Patch/oppdater berørte produkter så snart SonicWall publiserer sikkerhetsoppdateringer
Kilder: