178K+ Firewall SonicWall Rentan terhadap DoS, Serangan RCE

Dua kerentanan penolakan layanan (DoS) yang tidak diautentikasi mengancam keamanan sonicwall perangkat firewall generasi berikutnya, mengekspos lebih dari 178,000 perangkat tersebut ke keduanya DoS dan juga eksekusi kode jarak jauh (RCE) serangan.

Meskipun kekurangannya — dilacak masing-masing sebagai CVE-2022-22274 dan CVE-2023-0656 — ditemukan dengan selang waktu satu tahun, namun “pada dasarnya sama”, meskipun masing-masing memerlukan jalur URI HTTP yang berbeda untuk dapat dieksploitasi, tulis Jon Williams, insinyur keamanan senior di perusahaan keamanan BishopFox, dalam posting blog diterbitkan kemarin. sonicwall produk yang terpengaruh adalah firewall seri 6 dan 7.

“CVE-2022-22274 dan CVE-2023-0656 mewakili kerentanan yang sama pada jalur URI yang berbeda, sebuah masalah yang mudah dieksploitasi untuk merusak perangkat yang rentan,” tulisnya.

Potensi Tinggi Serangan DoS pada SonicWall Firewall

Memang benar, potensi dampak dari serangan yang meluas adalah “parah,” katanya, karena penyerang dapat menargetkan salah satu atau kedua bug pada firewall yang rentan untuk merusak perangkat atau melakukan RCE, menonaktifkan firewall dan berpotensi mengizinkan masuk ke jaringan perusahaan sambil melumpuhkan VPN. mengakses.

“Dalam konfigurasi defaultnya, SonicOS memulai ulang setelah terjadi crash, tetapi setelah tiga kali crash dalam waktu singkat, SonicOS melakukan booting ke mode pemeliharaan dan memerlukan tindakan administratif untuk memulihkan fungsionalitas normal,” jelas Williams.

Peneliti BishopFox menggunakan data sumber BinaryEdge untuk memindai firewall SonicWall dengan antarmuka manajemen yang terekspos ke Internet dan menemukan bahwa dari 233,984 perangkat yang ditemukan, 178,637 rentan terhadap salah satu atau kedua masalah.

Meskipun sejauh ini belum ada laporan bahwa salah satu kelemahan tersebut telah dieksploitasi secara liar, terdapat kode eksploitasi yang tersedia untuk bug yang baru ditemukan, dan BishopFox juga mengembangkan kode eksploitasinya sendiri untuk kelemahan tersebut.

Untungnya bagi organisasi yang menggunakan perangkat SonicWall yang terkena dampak, firmware terbaru yang tersedia melindungi terhadap kedua kerentanan tersebut, dan pembaruan dapat mengurangi risiko, kata Williams.

Kisah Dua Cacat yang Tidak Diautentikasi

Dari dua bug tersebut, CVE-2022-22274 — buffer overflow yang tidak diautentikasi memengaruhi antarmuka manajemen web NGFW yang ditemukan pada Maret 2022 — dinilai lebih berbahaya, menghasilkan peringkat kritis sebesar 9.4 pada CVSS dibandingkan peringkat 7.5 pada CVE-2023-0656 , yang tampaknya merupakan jenis cacat yang sama dan ditemukan sekitar setahun kemudian.

Penyerang jarak jauh yang tidak diautentikasi dapat mengeksploitasi kelemahan tersebut melalui permintaan HTTP untuk menyebabkan DoS atau berpotensi mengeksekusi kode di firewall, menurut sebuah laporan oleh Watchtower Labs tentang kerentanan yang diterbitkan pada bulan Oktober.

BishopFox menggunakan laporan tersebut sebagai dasar untuk mempelajari lebih dalam mekanisme cara kerja CVE-2022-22274, dan untuk mengembangkan kode eksploitasi mereka sendiri untuk CVE-2023-0656. Dalam prosesnya, mereka akhirnya menemukan CVE-XNUMX-XNUMX – yang menurut para peneliti mungkin merupakan zero day tetapi telah dilaporkan oleh SonicWall – serta menemukan bahwa kedua kelemahan tersebut saling terkait.

Para peneliti memicu CVE-2022-22274 melalui permintaan HTTP yang harus memenuhi dua kondisi: jalur URI harus lebih panjang dari 1024 byte, dan string versi HTTP harus cukup panjang untuk menyebabkan stack canary ditimpa.

Mereka berhasil mencapai serangan DoS terhadap peralatan virtual SonicWall seri 6 dan 7 yang rentan, bahkan beberapa versi yang ditambal. Inilah yang membuat mereka menyadari bahwa meskipun CVE-2022-22274 telah ditambal di firewall, namun CVE-2023-0656 tidak — dan kedua kelemahan tersebut disebabkan oleh pola kode rentan yang sama di tempat berbeda, kata Williams.

“Sepengetahuan kami, belum ada penelitian sebelumnya yang mempublikasikan hubungan antara CVE-2022-22274 dan CVE-2023-0656,” tulisnya dalam postingan tersebut. “Jelas, kedua kerentanan memiliki bug mendasar yang sama, namun patch awal hanya memperbaiki kode rentan di satu tempat, meninggalkan contoh lainnya untuk ditemukan dan dilaporkan setahun kemudian.”

Peneliti BishopFox juga menemukan bahwa mereka dapat “mengidentifikasi secara andal” perangkat yang rentan tanpa membuatnya offline dengan memenuhi kondisi eksploitasi pertama, namun tidak memenuhi kondisi kedua, tulis Williams. Hal ini menimbulkan tanggapan berbeda dari perangkat yang ditargetkan “karena pemeriksaan buffer overflow dalam versi yang ditambal menyebabkan koneksi terputus tanpa tanggapan,” tulisnya.

“Kami mengujinya terhadap kelima jalur URI dan menemukan bahwa pemeriksaan kerentanan dapat diandalkan di berbagai versi SonicOS,” kata Williams. BishopFox dirilis alat Python untuk menguji dan bahkan mengeksploitasi kelemahan pada perangkat SonicWall.

Tambal & Lindungi Terhadap Serangan Siber SonicWall

Ratusan ribu perusahaan di seluruh dunia menggunakan produk SonicWall, termasuk sejumlah lembaga pemerintah dan beberapa perusahaan terbesar di dunia. Penggunaannya yang luas menjadikan mereka permukaan serangan yang menarik ketika perangkat menjadi rentan; memang, penyerang punya sejarah menerkam pada kelemahan SonicWall untuk ransomware dan serangan lainnya.

Pada titik ini, potensi serangan RCE tidak terlalu berbahaya dibandingkan insiden DoS, mengingat eksploitasi yang tersedia karena penyerang akan menghadapi beberapa rintangan teknis yang harus diatasi — termasuk PIE, ASLR, dan stack canaries, kata Williams.

“Mungkin tantangan yang lebih besar bagi penyerang adalah menentukan terlebih dahulu versi firmware dan perangkat keras apa yang digunakan target tertentu, karena eksploitasi harus disesuaikan dengan parameter ini,” tambahnya. “Karena saat ini tidak ada teknik yang diketahui untuk mendeteksi firewall SonicWall dari jarak jauh, kemungkinan penyerang memanfaatkan RCE, menurut perkiraan kami, masih rendah.”

Terlepas dari itu, administrator jaringan tetap harus mengambil tindakan pencegahan untuk mengamankan perangkat. BishopFox mendesak administrator jaringan untuk menggunakan alat yang dikembangkan para peneliti untuk memeriksa perangkat yang rentan. Jika ditemukan, mereka harus memastikan bahwa antarmuka manajemen perangkat tidak terekspos secara online, serta melanjutkan dengan pembaruan firmware terbaru untuk mengamankan potensi serangan DoS.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/78k-sonicwall-firewalls-vulnerable-dos-rce-attacks