To uautentificerede denial-of-service (DoS) sårbarheder truer sikkerheden ved SonicWall næste generation af firewall-enheder, der udsætter mere end 178,000 af dem for begge DoS samt fjernudførelse af kode (RCE) angreb.
Selvom fejlene — spores hhv CVE-2022-22274 , CVE-2023-0656 - blev opdaget med et års mellemrum, er de "fundamentalt de samme", selvom de hver især kræver en anden HTTP URI-sti at udnytte, skrev Jon Williams, senior sikkerhedsingeniør hos sikkerhedsfirmaet BishopFox, i et blog-indlæg offentliggjort i går. SonicWall De berørte produkter er serie 6 og 7 firewalls.
"CVE-2022-22274 og CVE-2023-0656 repræsenterer den samme sårbarhed på forskellige URI-stier, et problem, der let kan udnyttes til at crashe sårbare enheder," skrev han.
Højt potentiale for DoS-angreb på SonicWall-firewalls
Faktisk er den potentielle virkning af et udbredt angreb "alvorlig," bemærkede han, da angribere kan målrette den ene eller begge fejl på sårbare firewalls for enten at crashe enheden eller udføre RCE, deaktivere firewalls og potentielt tillade adgang til virksomhedens netværk, mens de slår VPN ud. adgang.
"I sin standardkonfiguration genstarter SonicOS efter et nedbrud, men efter tre nedbrud på kort tid starter det op i vedligeholdelsestilstand og kræver administrativ handling for at genoprette normal funktionalitet," forklarede Williams.
BishopFox-forskere brugte BinaryEdge-kildedata til at scanne SonicWall-firewalls med administrationsgrænseflader udsat for internettet og fandt ud af, at ud af 233,984 opdagede enheder er 178,637 sårbare over for et eller begge problemer.
Selvom der indtil videre ikke er rapporter om, at nogen af fejlene er blevet udnyttet i naturen, er der udnyttelseskode tilgængelig for den mere nyligt opdagede fejl, og BishopFox udviklede også sin egen udnyttelseskode for fejlene.
Heldigvis for organisationer, der bruger de berørte SonicWall-enheder, beskytter den seneste tilgængelige firmware mod begge sårbarheder, og en opdatering kan mindske risikoen, sagde Williams.
En fortælling om to uautoriserede fejl
Af de to fejl blev CVE-2022-22274 - et uautoriseret bufferoverløb, der påvirker NGFW-webadministrationsgrænseflader, opdaget i marts 2022 - vurderet som mere farligt og opnåede en kritisk vurdering på 9.4 på CVSS versus 7.5-vurderingen af CVE-2023-0656 , som tilsyneladende er den samme type fejl og opdaget omkring et år senere.
En ekstern, uautoriseret angriber kunne udnytte fejlen via en HTTP-anmodning til at forårsage DoS eller potentielt udføre kode i firewallen, ifølge til en rapport af Watchtower Labs om sårbarheden offentliggjort i oktober.
BishopFox brugte denne rapport som grundlag for et dybere dyk ned i mekanikken for, hvordan CVE-2022-22274 fungerer, og til at udvikle deres egen udnyttelseskode til det. I processen opdagede de i sidste ende CVE-2023-0656 - som forskerne troede kunne være en dag på nul, men som allerede var blevet rapporteret af SonicWall - samt fandt ud af, at de to fejl er relateret.
Forskerne udløste CVE-2022-22274 gennem en HTTP-anmodning, der skulle opfylde to betingelser: URI-stien skal være længere end 1024 bytes, og HTTP-versionsstrengen skal være lang nok til at forårsage en stackcanary-overskrivning.
Det lykkedes dem at opnå et DoS-angreb mod sårbare SonicWall serie 6 og 7 virtuelle apparater, endda nogle patchede versioner. Det var det, der fik dem til at indse, at mens CVE-2022-22274 blev patchet på firewalls, var CVE-2023-0656 det ikke - og begge fejl er forårsaget af det samme sårbare kodemønster et andet sted, sagde Williams.
"Så vidt vi ved, er der ikke offentliggjort nogen tidligere forskning, der etablerer en forbindelse mellem CVE-2022-22274 og CVE-2023-0656," skrev han i indlægget. "Det er klart, at begge sårbarheder deler den samme underliggende fejl, men den indledende patch fiksede kun den sårbare kode ét sted, hvilket efterlod de andre forekomster til at blive fundet og rapporteret et år senere."
BishopFox-forskere fandt også ud af, at de kunne "pålideligt identificere" sårbare enheder uden at slå dem offline ved at opfylde den første af betingelserne for deres udnyttelse, men ikke den anden, skrev Williams. Dette fremkalder forskellige svar fra den målrettede enhed, "fordi bufferoverløbskontrollen i patchede versioner forårsager, at forbindelsen afbrydes uden et svar," skrev han.
"Vi testede dette mod alle fem URI-stier og fandt ud af, at sårbarhedskontrollen var pålidelig på tværs af en lang række SonicOS-versioner," sagde Williams. BishopFox løsladt et Python-værktøj for at teste og endda udnytte fejlene på SonicWall-enheder.
Patch & Beskyt mod SonicWall Cyberangreb
Hundredtusindvis af virksomheder over hele kloden bruger SonicWall-produkter, herunder adskillige offentlige myndigheder og nogle af de største virksomheder i verden. Deres udbredte brug gør dem til en attraktiv angrebsoverflade, når enheder bliver sårbare; ja, angribere har en historie med at slå ned på SonicWall-fejl forum ransomware og andre angreb.
På dette tidspunkt er faren ikke så stor i et potentielt RCE-angreb som en DoS-hændelse, givet den tilgængelige udnyttelse, fordi angribere ville have et par tekniske forhindringer at overvinde - inklusive PIE, ASLR og stablekanariefugle, bemærkede Williams.
"Måske en større udfordring for en angriber er på forhånd at bestemme, hvilken firmware- og hardwareversion et bestemt mål bruger, da udnyttelsen skal skræddersyes til disse parametre," tilføjede han. "Da der i øjeblikket ikke er kendt teknik til fjernaftryk af SonicWall-firewalls, er sandsynligheden for, at angribere udnytter RCE, efter vores vurdering stadig lav."
Uanset hvad bør netværksadministratorer stadig tage forholdsregler for at sikre enheder. BishopFox opfordrer netværksadministratorer til at bruge det værktøj, som forskerne har udviklet, til at tjekke for sårbare enheder. Hvis de bliver fundet, skal de sikre, at en enheds administrationsgrænseflade ikke eksponeres online, samt fortsætte med en opdatering til den nyeste firmware for at sikre mod et potentielt DoS-angreb.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/78k-sonicwall-firewalls-vulnerable-dos-rce-attacks
- :har
- :er
- :ikke
- 000
- 178
- 2022
- 7
- 9
- a
- Om
- adgang
- Ifølge
- opnå
- tværs
- Handling
- tilføjet
- administrative
- administratorer
- fremme
- påvirket
- påvirker
- Efter
- mod
- agenturer
- Alle
- tillade
- allerede
- også
- an
- ,
- fra hinanden
- apparater
- ER
- AS
- At
- angribe
- Angreb
- attraktivt
- til rådighed
- grundlag
- BE
- fordi
- bliver
- været
- mellem
- større
- Blog
- Støvler
- både
- buffer
- bufferoverløb
- Bug
- bugs
- men
- by
- CAN
- Årsag
- forårsagede
- årsager
- udfordre
- kontrollere
- tydeligt
- kode
- Virksomheder
- betingelser
- Konfiguration
- tilslutning
- Corporate
- kunne
- Crash
- kritisk
- For øjeblikket
- FARE
- Dangerous
- data
- dag
- dybere
- Standard
- bestemmelse
- udvikle
- udviklet
- enhed
- Enheder
- forskellige
- opdaget
- dyk
- DOS
- droppet
- hver
- Optjening
- nemt
- enten
- ingeniør
- nok
- sikre
- virksomheder
- indrejse
- oprettelse
- Endog
- udføre
- udførelse
- forklarede
- Exploit
- Exploited
- udnytte
- udsat
- langt
- få
- fingeraftryk
- firewall
- firewalls
- Firm
- Fornavn
- fem
- fast
- fejl
- fejl
- Til
- fundet
- fra
- funktionalitet
- fundamentalt
- given
- Global
- kloden
- Regering
- regeringsorganer
- havde
- Hardware
- Have
- he
- historie
- Hvordan
- http
- HTTPS
- Hurdles
- identificere
- if
- KIMOs Succeshistorier
- in
- hændelse
- Herunder
- faktisk
- initial
- grænseflade
- grænseflader
- Internet
- ind
- spørgsmål
- spørgsmål
- IT
- ITS
- jon
- jpg
- Knocking
- viden
- kendt
- Labs
- største
- senere
- seneste
- forlader
- Led
- løftestang
- sandsynlighed
- LINK
- Lang
- længere
- Lav
- vedligeholdelse
- maerker
- lykkedes
- ledelse
- Marts
- mekanik
- måske
- afbøde
- tilstand
- mere
- meget
- skal
- behov
- netværk
- net
- næste generation
- ingen
- normal
- bemærkede
- talrige
- oktober
- of
- offline
- on
- ONE
- online
- kun
- or
- organisationer
- angiveligt
- Andet
- vores
- ud
- Overvind
- egen
- parametre
- særlig
- patch
- sti
- stier
- Mønster
- Udfør
- måske
- periode
- Place
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- Indlæg
- potentiale
- potentielt
- tidligere
- Fortsæt
- behandle
- Produkter
- beskytte
- beskytter
- offentliggjort
- Python
- nominel
- bedømmelse
- indse
- for nylig
- relaterede
- frigivet
- pålidelig
- fjern
- fjernadgang
- indberette
- rapporteret
- Rapporter
- repræsentere
- anmode
- kræver
- Kræver
- forskning
- forskere
- henholdsvis
- svar
- reaktioner
- genoprette
- Risiko
- Said
- samme
- scanne
- Anden
- sikker
- sikkerhed
- senior
- Series
- svær
- Del
- Kort
- bør
- siden
- So
- indtil nu
- nogle
- Kilde
- stable
- Stadig
- String
- overflade
- skræddersyet
- Tag
- fortælling
- mål
- målrettet
- Teknisk
- teknik
- afprøvet
- Test
- end
- at
- verdenen
- deres
- Them
- Der.
- Disse
- de
- denne
- selvom?
- tænkte
- tusinder
- tre
- Gennem
- tid
- til
- værktøj
- udløst
- to
- typen
- Ultimativt
- underliggende
- Opdatering
- opfordrer
- brug
- anvendte
- ved brug af
- række
- udgave
- versioner
- versus
- via
- Virtual
- VPN
- Sårbarheder
- sårbarhed
- Sårbar
- var
- we
- web
- GODT
- var
- Hvad
- hvornår
- som
- mens
- bred
- udbredt
- Wild
- Williams
- med
- uden
- virker
- world
- ville
- skrev
- år
- i går
- zephyrnet
- nul
- Zero Day
