SonicWall针对影响SSLVPN SMA1000设备的新缺陷发布修补程序

SonicWall发布了一条警告，指出其安全移动访问（SMA）1000设备中存在三个安全缺陷，其中包括一个严重的绕过身份验证漏洞。

所述缺陷影响到运行固件版本12.4.0和12.4.1的SMA 6200、6210、7200、7210、8000v。漏洞列表如下-

• CVE-2022-22282（CVSS得分：8.2）-未经验证的访问控制旁路
• CVE-2022-1702（CVSS分数：6.1）-URL重定向到未受信任的站点（打开重定向）
• CVE-2022-1701（CVSS分数：5.7）-使用共享和硬编码加密密钥

成功利用上述漏洞可允许攻击者未经授权访问内部资源，甚至将潜在受害者重定向到恶意网站。

Mimecast攻击性安全团队的汤姆·怀亚特（TomWyatt）发现并报告了这些漏洞。

SonicWall指出，这些缺陷不会影响运行12.4.0之前版本的SMA 1000系列、SMA 100系列、中央管理服务器（CMS）和远程访问客户端。

虽然没有证据表明这些漏洞在野外被利用，但鉴于SonicWall设备在过去为勒索软件攻击提供了一个很有吸引力的靶子，建议用户应用修复程序。

网络安全公司表示：“没有临时缓解措施。”“SonicWall敦促受影响的客户尽快实施适用的修补程序。”