Oltre 178 firewall SonicWall vulnerabili agli attacchi DoS e RCE

Due vulnerabilità Denial of Service (DoS) non autenticate stanno minacciando la sicurezza di SonicWall dispositivi firewall di nuova generazione, esponendone più di 178,000 ad entrambi DoS così come esecuzione di codice remoto (RCE) attacchi.

Sebbene i difetti siano tracciati rispettivamente come CVE-2022-22274 ed CVE-2023-0656 - sono stati scoperti a un anno di distanza, sono "fondamentalmente uguali", anche se richiedono ciascuno un diverso percorso URI HTTP per essere sfruttati, ha scritto Jon Williams, ingegnere senior della sicurezza presso la società di sicurezza BishopFox, in un post sul blog pubblicato ieri. SonicWall i prodotti interessati sono i firewall delle serie 6 e 7.

"CVE-2022-22274 e CVE-2023-0656 rappresentano la stessa vulnerabilità su percorsi URI diversi, un problema che può essere facilmente sfruttato per mandare in crash i dispositivi vulnerabili", ha scritto.

Elevato potenziale di attacchi DoS sui firewall SonicWall

In effetti, l’impatto potenziale di un attacco diffuso è “grave”, ha osservato, poiché gli aggressori possono prendere di mira uno o entrambi i bug sui firewall vulnerabili per mandare in crash il dispositivo o eseguire RCE, disabilitando i firewall e potenzialmente consentendo l’ingresso nelle reti aziendali mettendo fuori uso la VPN. accesso.

"Nella sua configurazione predefinita, SonicOS si riavvia dopo un arresto anomalo, ma dopo tre arresti anomali in un breve periodo di tempo si avvia in modalità di manutenzione e richiede un'azione amministrativa per ripristinare la normale funzionalità", ha spiegato Williams.

I ricercatori di BishopFox hanno utilizzato i dati di origine BinaryEdge per scansionare i firewall SonicWall con interfacce di gestione esposte a Internet e hanno scoperto che su 233,984 dispositivi scoperti, 178,637 sono vulnerabili a uno o entrambi i problemi.

Anche se finora non ci sono segnalazioni che uno dei difetti sia stato sfruttato in natura, è disponibile un codice di exploit per il bug scoperto più di recente e anche BishopFox ha sviluppato il proprio codice di exploit per i difetti.

Fortunatamente per le organizzazioni che utilizzano i dispositivi SonicWall interessati, l'ultimo firmware disponibile protegge da entrambe le vulnerabilità e un aggiornamento può mitigare i rischi, ha affermato Williams.

Una storia di due difetti non autenticati

Dei due bug, CVE-2022-22274 - un buffer overflow non autenticato che interessa le interfacce di gestione web NGFW scoperto nel marzo 2022 - è stato classificato come più pericoloso, ottenendo una valutazione critica di 9.4 su CVSS rispetto alla valutazione di 7.5 di CVE-2023-0656. , che è apparentemente lo stesso tipo di difetto e scoperto circa un anno dopo.

Un utente malintenzionato remoto e non autenticato potrebbe sfruttare la falla tramite una richiesta HTTP per causare DoS o potenzialmente eseguire codice nel firewall, secondo a un rapporto da Watchtower Labs sulla vulnerabilità pubblicata in ottobre.

BishopFox ha utilizzato quel rapporto come base per approfondire i meccanismi di funzionamento di CVE-2022-22274 e per sviluppare il proprio codice di exploit. Nel processo hanno infine scoperto CVE-2023-0656 – che i ricercatori pensavano potesse essere un giorno zero ma che era già stato segnalato da SonicWall – e hanno scoperto che i due difetti sono correlati.

I ricercatori hanno attivato CVE-2022-22274 tramite una richiesta HTTP che doveva soddisfare due condizioni: il percorso URI deve essere più lungo di 1024 byte e la stringa della versione HTTP deve essere sufficientemente lunga da causare la sovrascrittura dello stack canary.

Sono riusciti a realizzare un attacco DoS contro le vulnerabili apparecchiature virtuali SonicWall serie 6 e 7, anche alcune versioni con patch. Questo è ciò che li ha portati a capire che mentre CVE-2022-22274 era patchato sui firewall, CVE-2023-0656 no - ed entrambi i difetti sono causati dallo stesso modello di codice vulnerabile in un posto diverso, ha detto Williams.

"Per quanto ne sappiamo, non è stata pubblicata alcuna ricerca precedente che stabilisca un collegamento tra CVE-2022-22274 e CVE-2023-0656", ha scritto nel post. "Chiaramente, entrambe le vulnerabilità condividono lo stesso bug di base, ma la patch iniziale ha corretto il codice vulnerabile solo in un punto, lasciando che le altre istanze venissero trovate e segnalate un anno dopo."

I ricercatori di BishopFox hanno anche scoperto di poter “identificare in modo affidabile” i dispositivi vulnerabili senza metterli offline, soddisfacendo la prima delle condizioni del loro exploit ma non la seconda, ha scritto Williams. Ciò suscita risposte diverse da parte del dispositivo preso di mira "perché il controllo dell'overflow del buffer nelle versioni con patch provoca l'interruzione della connessione senza risposta", ha scritto.

"Lo abbiamo testato rispetto a tutti e cinque i percorsi URI e abbiamo riscontrato che il controllo della vulnerabilità era affidabile su un'ampia varietà di versioni di SonicOS", ha affermato Williams. Rilasciato BishopFox uno strumento Python per testare e persino sfruttare i difetti dei dispositivi SonicWall.

Patch e protezione dagli attacchi informatici di SonicWall

Centinaia di migliaia di aziende in tutto il mondo utilizzano i prodotti SonicWall, tra cui numerose agenzie governative e alcune delle più grandi aziende del mondo. Il loro utilizzo diffuso li rende una superficie di attacco attraente quando i dispositivi diventano vulnerabili; in effetti, gli aggressori hanno una storia di attacchi sui difetti di SonicWall per ransomware e altri attacchi.

A questo punto il pericolo non risiede tanto in un potenziale attacco RCE quanto in un incidente DoS, dato l'exploit disponibile perché gli aggressori avrebbero alcuni ostacoli tecnici da superare, tra cui PIE, ASLR e stack canary, ha osservato Williams.

"Forse la sfida più grande per un utente malintenzionato è determinare in anticipo quali versioni firmware e hardware utilizza un particolare obiettivo, poiché l'exploit deve essere adattato a questi parametri", ha aggiunto. "Poiché attualmente non è nota alcuna tecnica per rilevare da remoto le impronte digitali dei firewall SonicWall, la probabilità che gli aggressori sfruttino RCE è, secondo noi, ancora bassa."

Indipendentemente da ciò, gli amministratori di rete dovrebbero comunque prendere precauzioni per proteggere i dispositivi. BishopFox esorta gli amministratori di rete a utilizzare lo strumento sviluppato dai ricercatori per verificare la presenza di dispositivi vulnerabili. Se trovati, dovrebbero garantire che l’interfaccia di gestione di un dispositivo non sia esposta online, nonché procedere con un aggiornamento al firmware più recente per proteggersi da un potenziale attacco DoS.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/78k-sonicwall-firewalls-vulnerable-dos-rce-attacks