SonicWall 生產的 SMA 100 系列網通產品，內含的一個 0-day 漏洞，恐已遭駭侵者大規模用以發動攻擊。

資安廠商 NCC Group 旗下的資安專家日前指出，由SonicWall 生產的 SMA 100 系列網通產品，內含的一個 0-day 漏洞，恐已遭駭侵者大規模用以發動攻擊。

NCC Groups 首先在 Twitter 上發表簡短推文，指出該公司已經觀察到利用 SonicWall SMA 100 系列 0-day 漏洞的大規模攻擊行動，同時也將該 0-day 漏洞的分析報告提報給 SonicWall。

美國主管資安事務的資安與基礎設施安全局（Cybersecurty and Infrastructure Security Agency）也在隨後發布資安通報，指出該局已接獲相關通報。CISA 也說該局正在密切注意相關漏洞的調查進度。

這波攻擊事件最早始於 1 月 22 日，SonicWall 對外公開該公司遭到攻擊；當時該公司指出，其內部網路很可能因為該公司特定網通產品的 0-day 漏洞而遭到攻擊；存有此一漏洞的裝置，很可能就是 SMA 100 系列，包括 SMA 200、SMA 210、SMA 400、SMA 410、SAM 500V。

數日後 NCC Group 在推文中指出，該公司發現了 0-day 漏洞的存在，以及發現大規模攻擊行動，但並未公布太多細節；隨後 SonicWall 更新其資安通報，明確指出 SMA 100 版本 10.x 的實體和虛擬產品都含有這個 0-day 漏洞。

SonicWall 指出，該公司正在積極開發新版韌體，預計在二月初即可釋出；用戶可暫時先將使用中的 SMA 100 系列機種，在備份設定值後降版到 9.x 版，同時檢查通訊記錄中是否有不明 IP 連線，如果不確定的話，應將 SMA 100 置於防火牆內，並且關閉一切對外連線。如有二階段登入驗證，也應立即啟用。

• 影響產品/版本：SonicWall SMA 100 系列，包括 SMA 200、SMA 210、SMA 400、SMA 410、SAM 500V。
   
• 解決方案：暫時降版至 9.x，待 SonicWall 推出新版韌體後再行升級，同時檢查是有曾有不明 IP 連線記錄。

• 參考連結

https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-confirms-sma-100-series-10-x-zero-day-vulnerability-feb-1-2-p-m-cst/210122173415410/

https://twitter.com/NCCGroupInfosec/status/1355850304596680705

https://us-cert.cisa.gov/ncas/current-activity/2021/02/02/zero-day-vulnerability-sonicwall-sma-100-series-version-10x