Más de 178 firewalls SonicWall vulnerables a ataques DoS y RCE

Dos vulnerabilidades de denegación de servicio (DoS) no autenticadas amenazan la seguridad de SonicWall dispositivos firewall de próxima generación, exponiendo a más de 178,000 de ellos a ambos DoS al igual que ejecución remota de código (RCE) ataques.

Aunque los defectos, rastreados respectivamente como CVE-2022-22274 y CVE-2023-0656 – se descubrieron con un año de diferencia, son “fundamentalmente iguales”, aunque cada uno requiere una ruta HTTP URI diferente para explotar, escribió Jon Williams, ingeniero de seguridad senior de la firma de seguridad BishopFox, en una entrada de blog publicado ayer. SonicWall Los productos afectados son los cortafuegos de las series 6 y 7.

"CVE-2022-22274 y CVE-2023-0656 representan la misma vulnerabilidad en diferentes rutas de URI, un problema que se explota fácilmente para bloquear dispositivos vulnerables", escribió.

Alto potencial de ataques DoS en los firewalls de SonicWall

De hecho, el impacto potencial de un ataque generalizado es "severo", señaló, ya que los atacantes pueden atacar uno o ambos errores en los firewalls vulnerables para bloquear el dispositivo o realizar RCE, deshabilitando los firewalls y potencialmente permitiendo la entrada a las redes corporativas mientras desactiva la VPN. acceso.

"En su configuración predeterminada, SonicOS se reinicia después de una falla, pero después de tres fallas en un corto período de tiempo, arranca en modo de mantenimiento y requiere una acción administrativa para restaurar la funcionalidad normal", explicó Williams.

Los investigadores de BishopFox utilizaron datos fuente de BinaryEdge para escanear los firewalls de SonicWall con interfaces de administración expuestas a Internet y descubrieron que de 233,984 dispositivos descubiertos, 178,637 son vulnerables a uno o ambos problemas.

Aunque hasta ahora no hay informes de que alguna de las fallas haya sido explotada en la naturaleza, hay un código de explotación disponible para el error descubierto más recientemente, y BishopFox también desarrolló su propio código de explotación para las fallas.

Afortunadamente para las organizaciones que utilizan los dispositivos SonicWall afectados, el último firmware disponible protege contra ambas vulnerabilidades y una actualización puede mitigar el riesgo, dijo Williams.

Una historia de dos defectos no autenticados

De los dos errores, CVE-2022-22274, un desbordamiento de búfer no autenticado que afecta a las interfaces de administración web NGFW descubierto en marzo de 2022, fue calificado como más peligroso, obteniendo una calificación crítica de 9.4 en CVSS frente a la calificación de 7.5 de CVE-2023-0656. , que aparentemente es el mismo tipo de defecto y se descubrió aproximadamente un año después.

Un atacante remoto y no autenticado podría explotar la falla a través de una solicitud HTTP para causar DoS o potencialmente ejecutar código en el firewall, según a un informe por Watchtower Labs sobre la vulnerabilidad publicada en octubre.

BishopFox utilizó ese informe como base para profundizar en la mecánica de funcionamiento de CVE-2022-22274 y para desarrollar su propio código de explotación. En el proceso, finalmente descubrieron CVE-2023-0656, que los investigadores pensaron que podría ser un día cero pero que ya había sido informado por SonicWall, y descubrieron que las dos fallas están relacionadas.

Los investigadores activaron CVE-2022-22274 a través de una solicitud HTTP que debía cumplir dos condiciones: la ruta URI debe tener más de 1024 bytes y la cadena de versión HTTP debe ser lo suficientemente larga como para provocar una sobrescritura canaria de la pila.

Lograron realizar un ataque DoS contra dispositivos virtuales vulnerables de SonicWall series 6 y 7, incluso algunas versiones parcheadas. Esto es lo que los llevó a darse cuenta de que, si bien CVE-2022-22274 estaba parcheado en los firewalls, CVE-2023-0656 no, y ambas fallas son causadas por el mismo patrón de código vulnerable en un lugar diferente, dijo Williams.

"Hasta donde sabemos, no se ha publicado ninguna investigación previa que establezca un vínculo entre CVE-2022-22274 y CVE-2023-0656", escribió en la publicación. "Claramente, ambas vulnerabilidades comparten el mismo error subyacente, pero el parche inicial solo solucionó el código vulnerable en un lugar, dejando que las otras instancias se encontraran y se informaran un año después".

Los investigadores de BishopFox también descubrieron que podían "identificar de manera confiable" dispositivos vulnerables sin desconectarlos al satisfacer la primera de las condiciones de su exploit, pero no la segunda, escribió Williams. Esto provoca diferentes respuestas del dispositivo objetivo "porque la comprobación de desbordamiento del búfer en las versiones parcheadas hace que la conexión se interrumpa sin respuesta", escribió.

"Probamos esto con las cinco rutas de URI y descubrimos que la verificación de vulnerabilidad era confiable en una amplia variedad de versiones de SonicOS", dijo Williams. BishopFox liberado una herramienta de Python para probar e incluso explotar las fallas en los dispositivos SonicWall.

Parchee y proteja contra los ciberataques de SonicWall

Cientos de miles de empresas en todo el mundo utilizan productos SonicWall, incluidas numerosas agencias gubernamentales y algunas de las empresas más grandes del mundo. Su uso generalizado los convierte en una atractiva superficie de ataque cuando los dispositivos se vuelven vulnerables; de hecho, los atacantes tienen un historial de atacar sobre las fallas de SonicWall para ransomware y otros ataques.

En este punto, el peligro no está tanto en un posible ataque RCE como en un incidente DoS, dado el exploit disponible porque los atacantes tendrían que superar algunos obstáculos técnicos, incluidos PIE, ASLR y stack canaries, señaló Williams.

"Quizás un desafío mayor para un atacante sea determinar de antemano qué versiones de firmware y hardware está utilizando un objetivo en particular, ya que el exploit debe adaptarse a estos parámetros", añadió. "Dado que actualmente no se conoce ninguna técnica para tomar huellas digitales remotas de los firewalls de SonicWall, la probabilidad de que los atacantes aprovechen RCE es, en nuestra opinión, todavía baja".

De todos modos, los administradores de red aún deben tomar precauciones para proteger los dispositivos. BishopFox insta a los administradores de red a utilizar la herramienta que desarrollaron los investigadores para comprobar si hay dispositivos vulnerables. Si lo encuentran, deben asegurarse de que la interfaz de administración de un dispositivo no esté expuesta en línea, así como proceder con una actualización al firmware más reciente para protegerse contra un posible ataque DoS.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/78k-sonicwall-firewalls-vulnerable-dos-rce-attacks