178K+ सोनिकवॉल फ़ायरवॉल DoS, RCE हमलों के प्रति संवेदनशील हैं

178K+ सोनिकवॉल फ़ायरवॉल DoS, RCE हमलों के प्रति संवेदनशील हैं

टाइम स्टैम्प: 16 जनवरी, 2024 सुबह 11:43 बजे
178K+ सोनिकवॉल फ़ायरवॉल DoS के प्रति संवेदनशील, RCE प्लेटोब्लॉकचेन डेटा इंटेलिजेंस पर हमला करता है। लंबवत खोज. ऐ.

दो अप्रमाणित डिनायल-ऑफ-सर्विस (DoS) कमजोरियाँ इसकी सुरक्षा को खतरे में डाल रही हैं सोनिकवॉल अगली पीढ़ी के फ़ायरवॉल उपकरण, जिनमें से 178,000 से अधिक दोनों के संपर्क में हैं डॉस और रिमोट कोड निष्पादन (आरसीई) हमला करता है।

हालाँकि खामियाँ - क्रमशः ट्रैक की गईं CVE-2022-22274 और CVE-2023-0656 - एक साल के अंतराल पर खोजे गए, वे "मौलिक रूप से एक ही हैं", हालांकि उनमें से प्रत्येक को शोषण के लिए एक अलग HTTP यूआरआई पथ की आवश्यकता होती है, सुरक्षा फर्म बिशपफॉक्स के वरिष्ठ सुरक्षा इंजीनियर जॉन विलियम्स ने लिखा है एक ब्लॉग पोस्ट कल प्रकाशित हुआ। सोनिकवॉल प्रभावित उत्पाद श्रृंखला 6 और 7 फ़ायरवॉल हैं।

उन्होंने लिखा, "सीवीई-2022-22274 और सीवीई-2023-0656 अलग-अलग यूआरआई पथों पर समान भेद्यता का प्रतिनिधित्व करते हैं, एक ऐसा मुद्दा जिसका उपयोग कमजोर उपकरणों को क्रैश करने के लिए आसानी से किया जाता है।"

SonicWall फ़ायरवॉल पर DoS हमलों की उच्च संभावना

वास्तव में, व्यापक हमले का संभावित प्रभाव "गंभीर" है, क्योंकि हमलावर या तो डिवाइस को क्रैश करने या आरसीई करने के लिए कमजोर फ़ायरवॉल पर एक या दोनों बग को लक्षित कर सकते हैं, फ़ायरवॉल को अक्षम कर सकते हैं और संभावित रूप से वीपीएन को नष्ट करते हुए कॉर्पोरेट नेटवर्क में प्रवेश की अनुमति दे सकते हैं। पहुँच।

विलियम्स ने बताया, "अपने डिफ़ॉल्ट कॉन्फ़िगरेशन में, SonicOS क्रैश के बाद पुनरारंभ होता है, लेकिन थोड़े समय में तीन क्रैश के बाद यह रखरखाव मोड में बूट होता है और सामान्य कार्यक्षमता को बहाल करने के लिए प्रशासनिक कार्रवाई की आवश्यकता होती है।"

बिशपफॉक्स शोधकर्ताओं ने इंटरनेट के संपर्क में आने वाले प्रबंधन इंटरफेस के साथ सोनिकवॉल फ़ायरवॉल को स्कैन करने के लिए बाइनरीएज स्रोत डेटा का उपयोग किया और पाया कि खोजे गए 233,984 उपकरणों में से 178,637 एक या दोनों मुद्दों के प्रति संवेदनशील हैं।

हालाँकि अभी तक ऐसी कोई रिपोर्ट नहीं है कि किसी भी दोष का जंगल में शोषण किया गया हो, हाल ही में खोजे गए बग के लिए शोषण कोड उपलब्ध है, और बिशपफॉक्स ने भी दोषों के लिए अपना स्वयं का शोषण कोड विकसित किया है।

विलियम्स ने कहा, सौभाग्य से उन संगठनों के लिए जो प्रभावित सोनिकवॉल उपकरणों का उपयोग करते हैं, नवीनतम उपलब्ध फर्मवेयर दोनों कमजोरियों से बचाता है, और एक अपडेट जोखिम को कम कर सकता है।

दो अप्रामाणिक खामियों की कहानी

दो बगों में से, CVE-2022-22274 - मार्च 2022 में खोजे गए NGFW वेब प्रबंधन इंटरफेस को प्रभावित करने वाला एक अप्रमाणित बफर ओवरफ्लो - को अधिक खतरनाक के रूप में रेट किया गया था, जिसने CVE-9.4-7.5 की 2023 रेटिंग के मुकाबले CVSS पर 0656 की महत्वपूर्ण रेटिंग अर्जित की। , जो जाहिरा तौर पर उसी प्रकार की खामी है और लगभग एक साल बाद इसका पता चला।

एक दूरस्थ, अप्रमाणित हमलावर DoS का कारण बनने या फ़ायरवॉल में संभावित रूप से कोड निष्पादित करने के लिए HTTP अनुरोध के माध्यम से दोष का फायदा उठा सकता है। एक रिपोर्ट के लिए अक्टूबर में प्रकाशित भेद्यता पर वॉचटावर लैब्स द्वारा।

बिशपफॉक्स ने उस रिपोर्ट को सीवीई-2022-22274 के काम करने के तरीके की गहन जानकारी के लिए और इसके लिए अपना स्वयं का शोषण कोड विकसित करने के लिए आधार के रूप में उपयोग किया। इस प्रक्रिया में उन्होंने अंततः CVE-2023-0656 की खोज की - जिसके बारे में शोधकर्ताओं ने सोचा कि यह एक शून्य दिन हो सकता है, लेकिन जिसकी रिपोर्ट SonicWall द्वारा पहले ही की जा चुकी थी - और साथ ही पाया कि दोनों खामियाँ संबंधित हैं।

शोधकर्ताओं ने एक HTTP अनुरोध के माध्यम से CVE-2022-22274 को ट्रिगर किया, जिसके लिए दो शर्तों को पूरा करना आवश्यक था: URI पथ 1024 बाइट्स से अधिक लंबा होना चाहिए, और HTTP संस्करण स्ट्रिंग स्टैक कैनरी ओवरराइट का कारण बनने के लिए पर्याप्त लंबी होनी चाहिए।

वे कमजोर SonicWall श्रृंखला 6 और 7 आभासी उपकरणों, यहां तक ​​​​कि कुछ पैच किए गए संस्करणों के खिलाफ DoS हमले को हासिल करने में कामयाब रहे। इससे उन्हें एहसास हुआ कि सीवीई-2022-22274 को फ़ायरवॉल पर पैच किया गया था, सीवीई-2023-0656 को नहीं - और दोनों खामियां एक अलग जगह पर एक ही कमजोर कोड पैटर्न के कारण होती हैं, विलियम्स ने कहा।

उन्होंने पोस्ट में लिखा, "हमारी जानकारी के अनुसार, सीवीई-2022-22274 और सीवीई-2023-0656 के बीच कोई संबंध स्थापित करने वाला कोई पिछला शोध प्रकाशित नहीं हुआ है।" "स्पष्ट रूप से, दोनों कमजोरियों में एक ही अंतर्निहित बग है, लेकिन प्रारंभिक पैच ने केवल एक ही स्थान पर कमजोर कोड को ठीक किया, अन्य उदाहरणों को ढूंढने और एक साल बाद रिपोर्ट करने के लिए छोड़ दिया।"

बिशपफॉक्स शोधकर्ताओं ने यह भी पाया कि वे अपने शोषण की पहली शर्तों को पूरा करके कमजोर उपकरणों को ऑफ़लाइन किए बिना "विश्वसनीय रूप से पहचान" सकते हैं, लेकिन दूसरे को नहीं, विलियम्स ने लिखा। यह लक्षित डिवाइस से अलग-अलग प्रतिक्रियाएं प्राप्त करता है "क्योंकि पैच किए गए संस्करणों में बफर ओवरफ्लो जांच के कारण कनेक्शन बिना किसी प्रतिक्रिया के छूट जाता है," उन्होंने लिखा।

विलियम्स ने कहा, "हमने सभी पांच यूआरआई पथों के खिलाफ इसका परीक्षण किया और पाया कि विभिन्न प्रकार के सोनिकओएस संस्करणों में भेद्यता जांच विश्वसनीय थी।" बिशपफॉक्स जारी किया गया एक पायथन उपकरण परीक्षण के लिए और यहां तक ​​कि SonicWall उपकरणों की खामियों का फायदा उठाने के लिए भी।

सोनिकवॉल साइबर हमलों के खिलाफ पैच और सुरक्षा

दुनिया भर में सैकड़ों-हजारों कंपनियां सोनिकवॉल उत्पादों का उपयोग करती हैं, जिनमें कई सरकारी एजेंसियां ​​और दुनिया के कुछ सबसे बड़े उद्यम शामिल हैं। जब उपकरण असुरक्षित हो जाते हैं तो उनका व्यापक उपयोग उन्हें एक आकर्षक आक्रमण सतह बनाता है; दरअसल, हमलावरों का इतिहास झपटने का रहा है SonicWall की खामियों पर एसटी Ransomware और अन्य हमले.

विलियम्स ने कहा कि इस बिंदु पर खतरा संभावित आरसीई हमले में उतना नहीं है जितना कि डीओएस घटना में, उपलब्ध शोषण को देखते हुए क्योंकि हमलावरों को कुछ तकनीकी बाधाओं पर काबू पाना होगा - जिसमें पीआईई, एएसएलआर और स्टैक कैनरी शामिल हैं।

उन्होंने कहा, "शायद एक हमलावर के लिए एक बड़ी चुनौती पहले से यह निर्धारित करना है कि कोई विशेष लक्ष्य किस फर्मवेयर और हार्डवेयर संस्करण का उपयोग कर रहा है, क्योंकि शोषण को इन मापदंडों के अनुरूप बनाया जाना चाहिए।" "चूंकि वर्तमान में सोनिकवॉल फ़ायरवॉल को दूरस्थ रूप से फ़िंगरप्रिंट करने के लिए कोई तकनीक ज्ञात नहीं है, इसलिए हमारे अनुमान में, हमलावरों द्वारा आरसीई का लाभ उठाने की संभावना अभी भी कम है।"

इसके बावजूद, नेटवर्क प्रशासकों को अभी भी उपकरणों को सुरक्षित करने के लिए सावधानी बरतनी चाहिए। बिशपफॉक्स नेटवर्क प्रशासकों से कमजोर उपकरणों की जांच के लिए शोधकर्ताओं द्वारा विकसित टूल का उपयोग करने का आग्रह कर रहा है। यदि पाया जाता है, तो उन्हें यह सुनिश्चित करना चाहिए कि किसी डिवाइस का प्रबंधन इंटरफ़ेस ऑनलाइन उजागर न हो, साथ ही संभावित DoS हमले से सुरक्षित रहने के लिए नवीनतम फर्मवेयर के अपडेट के साथ आगे बढ़ें।

समय टिकट:

से अधिक डार्क रीडिंग