{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"SMA 200, SMA 210, SMA 400 et SMA 410 versions 10.x ant\u00e9rieures \u00e0 10.2.0.6-32sv","product":{"name":"Secure Mobile Access","vendor":{"name":"Sonicwall","scada":false}}},{"description":"SMA 200, SMA 210, SMA 400 et SMA 410 versions 9.x ant\u00e9rieures \u00e0 9.0.0.10-28sv","product":{"name":"Secure Mobile Access","vendor":{"name":"Sonicwall","scada":false}}},{"description":"SMA 500v (Azure, AWS, ESXi, HyperV) versions 10.x ant\u00e9rieures \u00e0 10.2.0.6-32sv","product":{"name":"Secure Mobile Access","vendor":{"name":"Sonicwall","scada":false}}},{"description":"SMA 500v (Azure, AWS, ESXi, HyperV) versions 9.x ant\u00e9rieures \u00e0 9.0.0.10-28sv","product":{"name":"Secure Mobile Access","vendor":{"name":"Sonicwall","scada":false}}}],"affected_systems_content":"","closed_at":"2021-05-12","content":"## Contournement provisoire\n\n\nEn attendant la sortie du correctif, SonicWall propose plusieurs mesures\nde contournement:\n\n1.  Changer tous les mots de passe et activer l'authentification\n    multi-facteurs ;\n2.  Bloquer l'acc\u00e8s \u00e0 l\u2019\u00e9quipement par un pare-feu ;\n3.  \u00c9teindre l'\u00e9quipement ;\n4.  Installer une version 9.x apr\u00e8s avoir effectu\u00e9 une sauvegarde de ses\n    r\u00e9glages puis une r\u00e9initialisation aux param\u00e8tres d'usine.\n\nLe CERT-FR pr\u00e9cise que le simple fait de changer un mot de passe n'a pas\nd'utilit\u00e9 particuli\u00e8re dans le cas o\u00f9 un attaquant peut toujours\nexploiter une vuln\u00e9rabilit\u00e9 et \u00e9ventuellement contourner les m\u00e9canismes\nd'authentification.\n\nLe renouvellement des mots de passe est toutefois conseill\u00e9, une fois\nles correctifs appliqu\u00e9s ou \u00e0 d\u00e9faut une fois les autres mesures de\ncontournement mises en \u0153uvre.\n\nL'authentification multi-facteurs fait partie des bonnes pratiques et\nest toujours conseill\u00e9e lorsque celle-ci est disponible.\n\n## Solution\n\nLe CERT-FR recommande l'application du correctif de s\u00e9curit\u00e9 dans les\nplus brefs d\u00e9lais, la modification de tous les mots de passe ainsi que\nl'activation de l'authentification multi-facteurs.\n\nPour plus de renseignements, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de\nl'\u00e9diteur pour l'obtention des correctifs (cf. section Documentation).\n","cves":[{"name":"CVE-2021-20016","url":"https://www.cve.org/CVERecord?id=CVE-2021-20016"},{"name":"CVE-2014-6271","url":"https://www.cve.org/CVERecord?id=CVE-2014-6271"}],"links":[{"title":"Avis du CERT-FR CERTFR-2021-AVI-083 du 04 f\u00e9vrier 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-083/"},{"title":"Communiqu\u00e9 SonicWall du 19 f\u00e9vrier 2021","url":"https://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-x-and-9-x-firmware-updates-required-updated-feb-19-2-p-m-cst/210122173415410/"},{"title":"Billet de blogue FireEye du 29 avril 2021","url":"https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"}],"reference":"CERTFR-2021-ALE-001","revisions":[{"description":"Version initiale","revision_date":"2021-02-02T00:00:00.000000"},{"description":"Disponibilit\u00e9 du correctif, ajout de l'identifiant CVE, obligation de changer les mots de passe.","revision_date":"2021-02-04T00:00:00.000000"},{"description":"Ajout du communiqu\u00e9 SonicWall du 19 f\u00e9vrier 2021.","revision_date":"2021-02-22T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-03-11T00:00:00.000000"},{"description":"Ajout du billet de blogue FireEye du 29 avril 2021.","revision_date":"2021-04-30T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-05-12T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[Mise \u00e0 jour du 30 avril 2021\\]</strong>\n\nLe 29 avril 2021, dans un billet de blogue (cf. section Documentation),\nFireEye fait \u00e9tat de l'exploitation de la vuln\u00e9rabilit\u00e9\u00a0CVE-2021-20016\npar un groupe criminel dans le but de d\u00e9ployer plusieurs ran\u00e7ongiciels \u00e0\nl'encontre de diff\u00e9rentes entit\u00e9s en Europe et en Am\u00e9rique du Nord.\n\n<strong>\\[Mise \u00e0 jour du 22 f\u00e9vrier 2021\\]</strong>\n\nLe 19 f\u00e9vrier 2021, SonicWall a publi\u00e9 un nouveau correctif pour les\nversions 10.x, mais aussi pour les versions 9.x non concern\u00e9es par la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-20016 (cf. section Documentation).\n\nDans son communiqu\u00e9, SonicWall indique que ce correctif contient, sans\nles pr\u00e9ciser, des mesures de durcissement du code et invite ses clients\n\u00e0 l'installer imm\u00e9diatement.\n\n<strong>\\[Mise \u00e0 jour du 04 f\u00e9vrier 2021\\]</strong>\n\nLe 03 f\u00e9vrier 2021, SonicWall a publi\u00e9 un correctif pour la\nvuln\u00e9rabilit\u00e9 qui porte d\u00e9sormais l'identifiant\u00a0CVE-2021-20016. Cette\nvuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant non authentifi\u00e9 d'obtenir les\ninformations de connexions, y compris celles des comptes\nadministrateurs. L'attaquant peut alors prendre compl\u00e8tement la main sur\nl'\u00e9quipement.\n\nCette nouvelle pr\u00e9cision\u00a0confirme qu'il est obligatoire de changer tous\nles mots de passe une fois le correctif appliqu\u00e9.\n\n<strong>\\[Publication initiale\\]</strong>\n\nLe 01 f\u00e9vrier 2021, SonicWall a confirm\u00e9 l'existence d'une vuln\u00e9rabilit\u00e9\nde type 0 jour dans leurs passerelles d'acc\u00e8s s\u00e9curis\u00e9 SMA s\u00e9ries 100.\nCelle-ci affecte uniquement les versions 10.x.\n\nLes risques li\u00e9s \u00e0 cette vuln\u00e9rabilit\u00e9 ne sont pas pr\u00e9cis\u00e9s, mais sont\njug\u00e9s comme critiques par SonicWall.\n\nSonicWall annonce la sortie d'un correctif pour le 02 f\u00e9vrier 2021 en\nfin de journ\u00e9e ou pour le d\u00e9but de matin\u00e9e du 03 f\u00e9vrier 2021 en France.\n\nA noter: Ind\u00e9pendamment de cet \u00e9v\u00e8nement, un code d'attaque exploitant\nla vuln\u00e9rabilit\u00e9 CVE-2014-6271 (nomm\u00e9e *Shellshock*) pr\u00e9sente dans les\nversions ant\u00e9rieures \u00e0 8.0.0.4 a \u00e9t\u00e9 publi\u00e9 sur internet. Il est donc\nimp\u00e9ratif de s'assurer que vous ne disposez plus d'\u00e9quipements dans ces\nversions. Toutefois, les produits SMA s\u00e9ries 100 versions 9.x et 10.x ne\nsont pas vuln\u00e9rables \u00e0 la CVE-2014-6271.\n","title":"|M\u00e0J] Vuln\u00e9rabilit\u00e9 dans SonicWall SMA100","vendor_advisories":[{"published_at":"2021-02-01","title":"Communiqu\u00e9 SonicWall","url":"https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-confirms-sma-100-series-10-x-zero-day-vulnerability-feb-1-2-p-m-cst/210122173415410/"},{"published_at":"2021-01-23","title":"Bulletin de s\u00e9curit\u00e9 SonicWall SNWLID-2021-0001","url":"https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001"}]}