網路設備商SonicWall上周(5/27)針對其設備管理軟體上,一個可能讓駭客在裝置上執行指令的重大漏洞,釋出修補程式。
出現問題的是管理SonicWall所有裝置的網路安全管理員(Network Security Manager,NSM)軟體。編號CVE-2021-20026的漏洞是一指令注入漏洞,可能讓經過驗證的攻擊者發出假造的HTTP呼叫,而在作業系統上以根權限執行指令。此一漏洞CVSS 3.1風險評分為8.8。
NSM可以在本地部署或以雲端(SaaS)執行,不過這次漏洞僅影響NSM本地部署版本2.2.0-R10及之前版本。SaaS版則不受影響。
SonicWall已在本周釋出Network Security Manager (NSM) 2.2.1版,也呼籲本地部署NSM的SonicWall企業管理員儘速更新。
這是SonicWall今年以來最新修補的產品漏洞。今年1月22日SonicWall公告小型企業用SSL VPN產品SMA 100系列的漏洞遭駭客發動攻擊,之後則證明受影響裝置涵括MA200、210、400、410實體設備及SMA500v虛擬設備(Azure、AWS、AWS ESXi、HyperV),迫使該公司二度修補。
參考資料(如需詳細資訊請洽廠商)
影響SonicWall Network Security Manager(NSM) 的CVE-2021-20026官方修補資訊(2021-05-27公告):https://www.sonicwall.com/support/product-notification/security-advisory...
SMA 100 Series 10.X And 9.X Firmware官方修補資訊(2021-01-22公告、2021-04-29更新):https://www.sonicwall.com/support/product-notification/additional-sma-10...
熱門新聞
2024-09-13
2024-09-10
2024-09-09
2024-09-09
2024-09-12
2024-09-10
2024-09-11
2024-09-06