S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 février 2021
N° CERTFR-2021-ALE-001
Affaire suivie par: CERT-FR
le 02 février 2021

Bulletin d'alerte du CERT-FR

Objet: |MàJ] Vulnérabilité dans SonicWall SMA100

Gestion du document

Référence CERTFR-2021-ALE-001
Titre |MàJ] Vulnérabilité dans SonicWall SMA100
Date de la première version 02 février 2021
Date de la dernière version 12 mai 2021
Source(s) Bulletin de sécurité SonicWall SNWLID-2021-0001 du 23 janvier 2021
Communiqué SonicWall du 01 février 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Non spécifié par l'éditeur
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Secure Mobile Access (SMA) séries 100 (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v) versions 10.x
  • SMA 200, SMA 210, SMA 400 et SMA 410 versions 10.x antérieures à 10.2.0.5-d-29sv
  • SMA 500v (Azure, AWS, ESXi, HyperV) versions 10.x antérieures à 10.2.0.5-d-29sv
  • SMA 200, SMA 210, SMA 400 et SMA 410 versions 10.x antérieures à 10.2.0.6-32sv
  • SMA 500v (Azure, AWS, ESXi, HyperV) versions 10.x antérieures à 10.2.0.6-32sv
  • SMA 200, SMA 210, SMA 400 et SMA 410 versions 9.x antérieures à 9.0.0.10-28sv
  • SMA 500v (Azure, AWS, ESXi, HyperV) versions 9.x antérieures à 9.0.0.10-28sv

Résumé

[Mise à jour du 30 avril 2021]

Le 29 avril 2021, dans un billet de blogue (cf. section Documentation), FireEye fait état de l'exploitation de la vulnérabilité CVE-2021-20016 par un groupe criminel dans le but de déployer plusieurs rançongiciels à l'encontre de différentes entités en Europe et en Amérique du Nord.

[Mise à jour du 22 février 2021]

Le 19 février 2021, SonicWall a publié un nouveau correctif pour les versions 10.x, mais aussi pour les versions 9.x non concernées par la vulnérabilité CVE-2021-20016 (cf. section Documentation).

Dans son communiqué, SonicWall indique que ce correctif contient, sans les préciser, des mesures de durcissement du code et invite ses clients à l'installer immédiatement.

[Mise à jour du 04 février 2021]

Le 03 février 2021, SonicWall a publié un correctif pour la vulnérabilité qui porte désormais l'identifiant CVE-2021-20016. Cette vulnérabilité permet à un attaquant non authentifié d'obtenir les informations de connexions, y compris celles des comptes administrateurs. L'attaquant peut alors prendre complètement la main sur l'équipement.

Cette nouvelle précision confirme qu'il est obligatoire de changer tous les mots de passe une fois le correctif appliqué.

[Publication initiale]

Le 01 février 2021, SonicWall a confirmé l'existence d'une vulnérabilité de type 0 jour dans leurs passerelles d'accès sécurisé SMA séries 100. Celle-ci affecte uniquement les versions 10.x.

Les risques liés à cette vulnérabilité ne sont pas précisés, mais sont jugés comme critiques par SonicWall.

SonicWall annonce la sortie d'un correctif pour le 02 février 2021 en fin de journée ou pour le début de matinée du 03 février 2021 en France.

A noter: Indépendamment de cet évènement, un code d'attaque exploitant la vulnérabilité CVE-2014-6271 (nommée Shellshock) présente dans les versions antérieures à 8.0.0.4 a été publié sur internet. Il est donc impératif de s'assurer que vous ne disposez plus d'équipements dans ces versions. Toutefois, les produits SMA séries 100 versions 9.x et 10.x ne sont pas vulnérables à la CVE-2014-6271.

Contournement provisoire

 

En attendant la sortie du correctif, SonicWall propose plusieurs mesures de contournement:

  1. Changer tous les mots de passe et activer l'authentification multi-facteurs ;
  2. Bloquer l'accès à l’équipement par un pare-feu ;
  3. Éteindre l'équipement ;
  4. Installer une version 9.x après avoir effectué une sauvegarde de ses réglages puis une réinitialisation aux paramètres d'usine.

Le CERT-FR précise que le simple fait de changer un mot de passe n'a pas d'utilité particulière dans le cas où un attaquant peut toujours exploiter une vulnérabilité et éventuellement contourner les mécanismes d'authentification.

Le renouvellement des mots de passe est toutefois conseillé, une fois les correctifs appliqués ou à défaut une fois les autres mesures de contournement mises en œuvre.

L'authentification multi-facteurs fait partie des bonnes pratiques et est toujours conseillée lorsque celle-ci est disponible.

Solution

Le CERT-FR recommande l'application du correctif de sécurité dans les plus brefs délais, la modification de tous les mots de passe ainsi que l'activation de l'authentification multi-facteurs.

Pour plus de renseignements, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 02 février 2021
    Version initiale
    le 04 février 2021
    Disponibilité du correctif, ajout de l'identifiant CVE, obligation de changer les mots de passe.
    le 22 février 2021
    Ajout du communiqué SonicWall du 19 février 2021.
    le 11 mars 2021
    Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.
    le 30 avril 2021
    Ajout du billet de blogue FireEye du 29 avril 2021.
    le 12 mai 2021
    Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.