Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • SMA 200, SMA 210, SMA 400 et SMA 410 versions 10.x antérieures à 10.2.0.6-32sv
  • SMA 200, SMA 210, SMA 400 et SMA 410 versions 9.x antérieures à 9.0.0.10-28sv
  • SMA 500v (Azure, AWS, ESXi, HyperV) versions 10.x antérieures à 10.2.0.6-32sv
  • SMA 500v (Azure, AWS, ESXi, HyperV) versions 9.x antérieures à 9.0.0.10-28sv

Résumé

[Mise à jour du 30 avril 2021]

Le 29 avril 2021, dans un billet de blogue (cf. section Documentation), FireEye fait état de l'exploitation de la vulnérabilité CVE-2021-20016 par un groupe criminel dans le but de déployer plusieurs rançongiciels à l'encontre de différentes entités en Europe et en Amérique du Nord.

[Mise à jour du 22 février 2021]

Le 19 février 2021, SonicWall a publié un nouveau correctif pour les versions 10.x, mais aussi pour les versions 9.x non concernées par la vulnérabilité CVE-2021-20016 (cf. section Documentation).

Dans son communiqué, SonicWall indique que ce correctif contient, sans les préciser, des mesures de durcissement du code et invite ses clients à l'installer immédiatement.

[Mise à jour du 04 février 2021]

Le 03 février 2021, SonicWall a publié un correctif pour la vulnérabilité qui porte désormais l'identifiant CVE-2021-20016. Cette vulnérabilité permet à un attaquant non authentifié d'obtenir les informations de connexions, y compris celles des comptes administrateurs. L'attaquant peut alors prendre complètement la main sur l'équipement.

Cette nouvelle précision confirme qu'il est obligatoire de changer tous les mots de passe une fois le correctif appliqué.

[Publication initiale]

Le 01 février 2021, SonicWall a confirmé l'existence d'une vulnérabilité de type 0 jour dans leurs passerelles d'accès sécurisé SMA séries 100. Celle-ci affecte uniquement les versions 10.x.

Les risques liés à cette vulnérabilité ne sont pas précisés, mais sont jugés comme critiques par SonicWall.

SonicWall annonce la sortie d'un correctif pour le 02 février 2021 en fin de journée ou pour le début de matinée du 03 février 2021 en France.

A noter: Indépendamment de cet évènement, un code d'attaque exploitant la vulnérabilité CVE-2014-6271 (nommée Shellshock) présente dans les versions antérieures à 8.0.0.4 a été publié sur internet. Il est donc impératif de s'assurer que vous ne disposez plus d'équipements dans ces versions. Toutefois, les produits SMA séries 100 versions 9.x et 10.x ne sont pas vulnérables à la CVE-2014-6271.

Contournement provisoire

En attendant la sortie du correctif, SonicWall propose plusieurs mesures de contournement:

  1. Changer tous les mots de passe et activer l'authentification multi-facteurs ;
  2. Bloquer l'accès à l’équipement par un pare-feu ;
  3. Éteindre l'équipement ;
  4. Installer une version 9.x après avoir effectué une sauvegarde de ses réglages puis une réinitialisation aux paramètres d'usine.

Le CERT-FR précise que le simple fait de changer un mot de passe n'a pas d'utilité particulière dans le cas où un attaquant peut toujours exploiter une vulnérabilité et éventuellement contourner les mécanismes d'authentification.

Le renouvellement des mots de passe est toutefois conseillé, une fois les correctifs appliqués ou à défaut une fois les autres mesures de contournement mises en œuvre.

L'authentification multi-facteurs fait partie des bonnes pratiques et est toujours conseillée lorsque celle-ci est disponible.

Solution

Le CERT-FR recommande l'application du correctif de sécurité dans les plus brefs délais, la modification de tous les mots de passe ainsi que l'activation de l'authentification multi-facteurs.

Pour plus de renseignements, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation