2021.01.27

해킹당한 소닉월, 기업 고객에게 제로데이 취약점 경고

Lucian Constantin | CSO
이번 공격은 소닉월(SonicWall)의 SMA 시리즈 접근 관리 게이트웨이를 대상으로 하며, 보안 공급업체에 대한 또 다른 공격이다. 
 
ⓒ Getty Images Bank
     
방화벽 및 네트워크 보안 어플라이언스 업체인 소닉월은 일부 제품에서 알려지지 않은 취약점을 통해 자체 시스템이 공격을 받은 후, 고객에게 예방 조치를 취할 것을 촉구했다. 소닉월 측은 1월 22일 웹사이트를 통해 “최근 특정 소닉월 보안 원격 접근 제품에서 제로데이 취약점을 악용한 고도의 보안 위협 행위자에 의한 공격이 확인됐다”라고 밝혔다.
 
소닉월은 SMA(Secure Mobile Access) 물리적 및 가상 어플라이언스와 넷익스텐더(NetExtender) VPN 클라이언트 및 소닉월 방화벽 가운데 일부가 취약한 것으로 의심했다. 그러나 추가 조사 끝에 취약한 제품의 목록을 수정했다.
 
소닉월 측은 어떤 소닉월 방화벽도 영향을 받지 않으며, 넷익스텐더 VPN 클라이언트, 소닉월 소닉웨이브(SonicWave) AP, 또는 SMA 1000 시리즈도 영향을 받지 않았다고 밝혔다. 유일하게 취약한 제품은 SMA 200, SMA 210, SMA 400, SMA 500v(가상)를 포함하는 SMA 100 시리즈 어플라이언스다.
 
SMA 100 시리즈 어플라이언스는 중소기업용 접근 관리 게이트웨이로, 원격 직원에게 사내 리소스 또는 클라우드에서 호스팅되는 하이브리드 리소스에 대한 브라우저 기반 및 VPN 기반의 접근을 제공할 수 있다. 이는 넷익스텐더 VPN 클라이언트와 결합할 수 있다. 

소닉월은 “현재 SMA 100 시리즈 고객은 해당 제품을 통해 원격 접속에 넷익스텐더를 계속 사용할 수 있다. 우리는 이 사용례가 악용에 취약하지 않다는 것을 확인했다”라고 말했다. 


SMA 100 시리즈 고객에게 초치 촉구 

그러나 소프트웨어 버전 10.x를 실행하는 SMA 100 시리즈 어플라이언스 사용자는 취약점을 조사하는 동안, 가상 오피스(Virtual Office)와 HTTPs 관리 인터페이스에 대한 인터넷 접근을 비활성화하는 것이 좋다. 그렇지 않은 경우, 고객은 최소한 IP 기반의 접근 규칙을 시행해야 한다. 이 작업은 회사의 지침에 따라 방화벽을 사용하거나 SMA 자체에서 수행할 수 있다. 

또 다른 권장 사항은 모든 SMA, 소닉월 방화벽, 또는 마이소닉월 계정에 대해 다중요소 인증(multi-factor authentication)을 사용하도록 설정하는 것이다. SMA는 구글 인증(Google Authenticator)과 같은 모바일 앱으로 생성된 시간 기반의 일회용 비밀번호(Time-based One Time Passwords, TOTP)를 지원한다. 소닉월 어플라이언스에서 SSL VPN 연결에 대한 LDAP(Lightweight Directory Access Protocol) 인증 외에 TOTP가 작동하도록 설정할 수 있다. editor@itworld.co.kr 


2021.01.27

해킹당한 소닉월, 기업 고객에게 제로데이 취약점 경고

Lucian Constantin | CSO
이번 공격은 소닉월(SonicWall)의 SMA 시리즈 접근 관리 게이트웨이를 대상으로 하며, 보안 공급업체에 대한 또 다른 공격이다. 
 
ⓒ Getty Images Bank
     
방화벽 및 네트워크 보안 어플라이언스 업체인 소닉월은 일부 제품에서 알려지지 않은 취약점을 통해 자체 시스템이 공격을 받은 후, 고객에게 예방 조치를 취할 것을 촉구했다. 소닉월 측은 1월 22일 웹사이트를 통해 “최근 특정 소닉월 보안 원격 접근 제품에서 제로데이 취약점을 악용한 고도의 보안 위협 행위자에 의한 공격이 확인됐다”라고 밝혔다.
 
소닉월은 SMA(Secure Mobile Access) 물리적 및 가상 어플라이언스와 넷익스텐더(NetExtender) VPN 클라이언트 및 소닉월 방화벽 가운데 일부가 취약한 것으로 의심했다. 그러나 추가 조사 끝에 취약한 제품의 목록을 수정했다.
 
소닉월 측은 어떤 소닉월 방화벽도 영향을 받지 않으며, 넷익스텐더 VPN 클라이언트, 소닉월 소닉웨이브(SonicWave) AP, 또는 SMA 1000 시리즈도 영향을 받지 않았다고 밝혔다. 유일하게 취약한 제품은 SMA 200, SMA 210, SMA 400, SMA 500v(가상)를 포함하는 SMA 100 시리즈 어플라이언스다.
 
SMA 100 시리즈 어플라이언스는 중소기업용 접근 관리 게이트웨이로, 원격 직원에게 사내 리소스 또는 클라우드에서 호스팅되는 하이브리드 리소스에 대한 브라우저 기반 및 VPN 기반의 접근을 제공할 수 있다. 이는 넷익스텐더 VPN 클라이언트와 결합할 수 있다. 

소닉월은 “현재 SMA 100 시리즈 고객은 해당 제품을 통해 원격 접속에 넷익스텐더를 계속 사용할 수 있다. 우리는 이 사용례가 악용에 취약하지 않다는 것을 확인했다”라고 말했다. 


SMA 100 시리즈 고객에게 초치 촉구 

그러나 소프트웨어 버전 10.x를 실행하는 SMA 100 시리즈 어플라이언스 사용자는 취약점을 조사하는 동안, 가상 오피스(Virtual Office)와 HTTPs 관리 인터페이스에 대한 인터넷 접근을 비활성화하는 것이 좋다. 그렇지 않은 경우, 고객은 최소한 IP 기반의 접근 규칙을 시행해야 한다. 이 작업은 회사의 지침에 따라 방화벽을 사용하거나 SMA 자체에서 수행할 수 있다. 

또 다른 권장 사항은 모든 SMA, 소닉월 방화벽, 또는 마이소닉월 계정에 대해 다중요소 인증(multi-factor authentication)을 사용하도록 설정하는 것이다. SMA는 구글 인증(Google Authenticator)과 같은 모바일 앱으로 생성된 시간 기반의 일회용 비밀번호(Time-based One Time Passwords, TOTP)를 지원한다. 소닉월 어플라이언스에서 SSL VPN 연결에 대한 LDAP(Lightweight Directory Access Protocol) 인증 외에 TOTP가 작동하도록 설정할 수 있다. editor@itworld.co.kr 


X