Изследователи в областта на сигурността са установили, че над 178 000 защитни стени от следващо поколение (NGFW) на SonicWall, чийто интерфейс за управление е изложен онлайн, са уязвими към атаки за отказ на услуга (DoS) и потенциално отдалечено изпълнение на код (RCE).
Тези устройства са засегнати от два недостатъка в сигурността на DoS, проследени като CVE-2022-22274 и CVE-2023-0656, като първият от тях позволява на нападателите да получат дистанционно изпълнение на код.
„Използвайки изходните данни на BinaryEdge, сканирахме защитните стени SonicWall с интерфейси за управление, изложени към интернет, и установихме, че 76% (178 637 от 233 984) са уязвими към един или двата проблема“, казва Джон Уилямс, старши инженер по сигурността в Bishop Fox.
Въпреки че двете уязвимости по същество са едни и същи, тъй като са причинени от повторното използване на един и същ уязвим модел на код, те са използваеми по различни HTTP URI пътища, според Bishop Fox, които са открили тази огромна повърхност за атаки.
„Първоначалното ни проучване потвърди твърдението на доставчика, че няма експлойт; след като идентифицирахме уязвимия код обаче, открихме, че това е същият проблем, обявен година по-късно като CVE-2023-0656“, казва Уилямс.
„Установихме, че CVE-2022-22274 е причинен от същия уязвим модел код на друго място, а експлойтът работи срещу три допълнителни URI пътя.“
Дори ако нападателите не могат да изпълнят код на целевия уред, те могат да използват уязвимостите, за да го принудят да премине в режим на поддръжка, което изисква намеса от страна на администраторите за възстановяване на стандартната функционалност.
По този начин, дори и да не е установено дали е възможно отдалечено изпълнение на код, лошите все още могат да използват тези уязвимости, за да деактивират крайните защитни стени и VPN достъпа, който те осигуряват до корпоративните мрежи.
По данни на платформата за мониторинг на заплахи Shadowserver понастоящем повече от 500 000 защитни стени SonicWall са изложени на риск онлайн, като над 328 000 от тях са в САЩ. Няколко десетки от тези устройства се намират в България.
Защитни стени SonicWall, изложени на въздействието на интернет (ShadowServer)
Въпреки че екипът за реагиране при инциденти със сигурността на продуктите (PSIRT) на SonicWall твърди, че не разполага с информация тези уязвимости да са били използвани в дивата природа, в интернет е наличен поне един доказателствен материал за концептуален (PoC) експлойт за CVE-2022-22274.
„SSD Labs са публикували техническо описание на грешката с доказателство за концепция, като са отбелязани два URI пътя, по които грешката може да бъде задействана“, казва Уилямс.
На администраторите се препоръчва да се уверят, че интерфейсът за управление на техните устройства SonicWall NGFW не е изложен онлайн, и да обновят до най-новите версии на фърмуера възможно най-скоро.
Устройствата на SonicWall и преди са били мишена на кибершпионски атаки и на множество банди за изнудване, включително HelloKitty и FiveHands).
Например през март миналата година SonicWall PSIRT и Mandiant разкриха, че заподозрени китайски хакери са инсталирали потребителски зловреден софтуер на непоправени уреди SonicWall Secure Mobile Access (SMA) с цел дългосрочно запазване в кампании за кибершпионаж.
През юли клиентите бяха предупредени също така спешно да поправят множество критични пропуски в заобикалянето на удостоверяването в продуктите на компанията за управление на защитни стени GMS и за мрежови отчети Analytics.
Списъкът с клиенти на SonicWall включва над 500 000 предприятия от повече от 215 държави и територии, включително правителствени агенции и някои от най-големите компании в света.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.