This post is also available in: Português
A CVE-2021-20016 é uma falha crítica de injeção de SQL identificada no produto SonicWall Secure Mobile Access (SMA) 100, mais especificamente em dispositivos com firmware anterior à versão 10.2.0.7-34. Lançada publicamente em janeiro de 2021, essa vulnerabilidade voltou a ganhar destaque após ser incluída no Catálogo de Vulnerabilidades Ativamente Exploradas da CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA), o que indica que atores mal-intencionados estão se aproveitando dela em ataques reais.
Entendendo o produto afetado
O SonicWall SMA 100 é uma solução de acesso remoto seguro amplamente usada por empresas para permitir conexões VPN de funcionários a redes corporativas. Por lidar com autenticação, transmissão de dados e acesso a ambientes internos, esse tipo de produto é um alvo valioso para invasores. Caso comprometido, pode abrir portas para movimentação lateral, roubo de dados e controle remoto de sistemas.
Detalhes da CVE-2021-20016
A falha está ligada a uma implementação inadequada da neutralização de entradas maliciosas em comandos SQL — a famosa injeção de SQL, classificada como CWE-89. Essa técnica permite que um atacante injete comandos arbitrários em consultas feitas ao banco de dados, contornando autenticações e obtendo acesso privilegiado a informações sensíveis.
No caso da CVE-2021-20016, a vulnerabilidade pode ser explorada de forma remota e sem autenticação. Isso significa que não é necessário ter um login válido ou estar dentro da rede-alvo para realizar o ataque. Basta enviar uma solicitação HTTP especialmente manipulada para explorar a falha.
Gravidade e pontuação CVSS
O escore CVSS da CVE-2021-20016 é 9.8 de 10, colocando-a na categoria de risco crítico. Esse valor reflete tanto a facilidade de exploração quanto o impacto potencial de um ataque bem-sucedido, que inclui a exposição de credenciais de usuários e administradores, comprometimento da integridade do sistema e perda de confidencialidade.
Por que a CVE-2021-20016 voltou aos holofotes?
Apesar de ter sido corrigida ainda em 2021, a CVE-2021-20016 voltou a ser alertada pelas autoridades devido à recente detecção de campanhas de varredura e exploração ativa na internet. Segundo um boletim do SANS Internet Storm Center, foram identificadas tentativas de escaneamento automatizado de dispositivos SonicWall vulneráveis, sugerindo que cibercriminosos estão buscando ativamente instâncias desatualizadas e expostas.
A inclusão no catálogo da CISA também obriga órgãos do governo federal dos EUA a aplicar os patches de correção, reforçando a urgência para que todos os administradores de redes que utilizam o SMA 100 verifiquem o status de atualização de seus sistemas.
Como mitigar a vulnerabilidade
A mitigação da CVE-2021-20016 começa com a aplicação imediata da atualização de segurança disponibilizada pela SonicWall. O fabricante corrigiu a falha ainda em janeiro de 2021, por meio da versão 10.2.0.7-34 do firmware do SMA 100. Garantir que todos os dispositivos estejam executando essa versão — ou alguma mais recente — é o primeiro passo essencial para eliminar o risco.
Além da atualização, é importante adotar medidas de segurança complementares. Administradores devem revisar os logs do sistema em busca de atividades anômalas, especialmente tentativas de acesso não autorizado que possam indicar exploração da vulnerabilidade. Também é recomendável restringir o acesso remoto à interface de administração, mantendo-a inacessível a partir da internet pública sempre que possível.
O uso de firewalls e ferramentas de monitoramento contínuo pode ajudar a identificar comportamentos suspeitos ou tráfego malicioso direcionado ao dispositivo. Por fim, a criação de políticas claras de atualização e gestão de vulnerabilidades deve ser incorporada à rotina da equipe de TI, para evitar que falhas antigas permaneçam ativas e expostas.
This post is also available in: Português
