SonicWall publiserte den 7. desember oppdateringer til sårbarheter i SMA1. CVSS V3 score på sårbarhetene er på mellom 6.3 og 9.8.

Sårbarhetene har fått følgende CVE nummer:

  •     CVE-2021-20038, CVSS 9.8
  •     CVE-2021-20045, CVSS 9.4
  •     CVE-2021-20043, CVSS 8.8
  •     CVE-2021-20041, CVSS 7.5
  •     CVE-2021-20039, CVSS 7.2
  •     CVE-2021-20044, CVSS 7.2
  •     CVE-2021-20040, CVSS 6.5
  •     CVE-2021-20042, CVSS 6.3

CVE-2021-20038 og CVE-2021-20045 er begge over CVSS score 9 og kan utnyttes over internett av en uautentisert angriper. Ved vellykket utnyttelse kan angriper kjøre kode som nobody brukeren.

Enheter i SMA 100-serien med WAF aktivert påvirkes også av flere av disse sårbarhetene.

SonicWall skriver at det foreløpig ikke er observert utnyttelse av sårbarhetene. NCSC anbefaler likevell alle systemeiere å oppdatere systemene så raskt det lar seg gjøre.

Referanser:

1https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026