网络安全公司Arctic Wolf发出警告，自2025年1月以来，威胁分子持续利用CVE-2021-20035漏洞攻击SonicWall安全移动接入（SMA）设备，旨在窃取VPN凭证。该漏洞存在于SMA100管理界面，可导致远程认证攻击者注入任意指令，最终可能导致任意代码执行。受影响设备包括SMA 200、210、400、410及500v系列。攻击者主要利用默认超级管理员账户及弱密码实施入侵。为应对此威胁，建议严格限制VPN访问权限、禁用闲置账户、强制启用多因素认证并重置密码。

⚠️ 漏洞详情：CVE-2021-20035漏洞存在于SonicWall SMA100管理界面，属于操作系统命令注入缺陷。远程认证攻击者可利用此漏洞以’nobody’用户身份注入任意指令，进而导致任意代码执行。

🚨 受影响设备：包括SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v系列。厂商已于2021年9月发布补丁。美国CISA已将该漏洞纳入已知被利用漏洞目录，并要求联邦机构在2025年5月7日前完成修复。

🔑 攻击特征：攻击者主要利用默认超级管理员账户（admin@LocalDomain）实施入侵，且多数设备仍使用默认弱密码”password”。即使已打补丁设备，若密码管理不当仍可能沦陷。攻击者针对未及时修改默认凭证的设备展开渗透。

🛡️ 防护建议：建议严格限制VPN访问权限、禁用所有闲置账户、强制启用多因素认证（MFA）并重置SMA防火墙所有本地账户密码。Arctic Wolf敦促使用SonicWall SMA设备的企业立即实施应急响应措施。

HackerNews 编译，转载请注明出处：

网络安全公司Arctic Wolf研究人员警告，自2025年1月以来，威胁分子持续利用编号CVE-2021-20035（CVSS评分7.1）的漏洞攻击SonicWall安全移动接入（Secure Mobile Access，SMA）设备。

该漏洞本质是SMA100管理界面存在的操作系统命令注入缺陷。远程认证攻击者可利用该漏洞以’nobody’用户身份注入任意指令，最终可能导致任意代码执行。

安全公告明确指出：”SMA100管理界面特殊元素中和处理不当，致使远程认证攻击者能以’nobody’用户身份注入任意指令，存在代码执行风险。”

受影响的设备型号包括SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v系列。厂商已于2021年9月发布补丁。攻击者可通过该漏洞发起拒绝服务（DoS）攻击瘫痪设备。

本周，美国网络安全与基础设施安全局（CISA）将该漏洞纳入已知被利用漏洞目录（KEV），并命令联邦机构须于2025年5月7日前完成修复。

SonicWall同步更新安全公告，确认该漏洞已在真实攻击中被利用。Arctic Wolf监测发现，2025年1月至4月间，针对SMA 100系列设备的攻击活动持续活跃，攻击者旨在窃取VPN凭证。

攻击特征分析：

1、利用默认超级管理员账户（admin@LocalDomain）实施入侵

2、多数设备仍使用默认弱密码”password”

3、即使已完整打补丁设备，若密码管理不当仍可能沦陷

Arctic Wolf在技术报告中强调：”本次攻击活动最显著特征是攻击者利用设备本地超级管理员账户实施入侵，该账户默认密码’password’存在严重安全隐患。” 报告同步披露了完整危害指标（IoCs）。

防护建议：

1、严格限制VPN访问权限

2、禁用所有闲置账户

3、强制启用多因素认证（MFA）

4、重置SMA防火墙所有本地账户密码

监测显示，攻击者主要针对未及时修改默认凭证的设备展开渗透。Arctic Wolf持续监控攻击态势，敦促所有使用SonicWall SMA设备的企业立即实施应急响应措施。

 

 

 

---

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络； 

转载请注明“转自 HackerNews.cc”并附上原文