178 以上の SonicWall ファイアウォールが DoS、RCE 攻撃に対して脆弱

2 つの未認証のサービス拒否 (DoS) 脆弱性が、次のセキュリティを脅かしています。 SonicWall 次世代ファイアウォール デバイス。そのうち 178,000 台以上が両方のデバイスにさらされています。 DoS攻撃 と同様 リモートコード実行 (RCE) 攻撃。

欠陥はあるものの、それぞれ次のように追跡されています CVE-2022-22274 および CVE-2023-0656 — 発見されたのは 1 年違い、悪用するにはそれぞれ異なる HTTP URI パスが必要ですが、それらは「基本的に同じ」です、とセキュリティ会社 BishopFox のシニア セキュリティ エンジニアである Jon Williams 氏は次のように書いています。 ブログ投稿 昨日公開されました。 SonicWall 影響を受ける製品は、シリーズ 6 および 7 ファイアウォールです。

「CVE-2022-22274 と CVE-2023-0656 は、異なる URI パス上の同じ脆弱性を表しており、脆弱なデバイスをクラッシュさせるために簡単に悪用される問題です」と同氏は書いています。

SonicWall ファイアウォールに対する DoS 攻撃の可能性が高い

実際、広範囲にわたる攻撃の潜在的な影響は「深刻」であると同氏は述べ、攻撃者は脆弱なファイアウォールのバグのいずれかまたは両方をターゲットにして、デバイスをクラッシュさせたり、RCEを実行したりして、ファイアウォールを無効にし、VPNをノックアウトしながら企業ネットワークへの侵入を可能にする可能性があると述べた。アクセス。

「デフォルト設定では、SonicOS はクラッシュ後に再起動しますが、短期間に 3 回クラッシュするとメンテナンス モードで起動し、通常の機能を復元するために管理アクションが必要になります」とウィリアムズ氏は説明しました。

BishopFox の研究者は、BinaryEdge のソース データを使用して、インターネットに公開されている管理インターフェイスを備えた SonicWall ファイアウォールをスキャンしたところ、発見された 233,984 台のデバイスのうち、178,637 台が一方または両方の問題に対して脆弱であることを発見しました。

これまでのところ、どちらの欠陥も悪用されたという報告はありませんが、最近発見されたバグには利用可能な悪用コードがあり、BishopFox もこの欠陥に対する独自の悪用コードを開発しました。

影響を受ける SonicWall デバイスを使用している組織にとって幸いなことに、利用可能な最新のファームウェアは両方の脆弱性から保護しており、アップデートによりリスクを軽減できると Williams 氏は述べています。

2 つの未認証の欠陥の物語

2022 つのバグのうち、CVE-22274-2022（9.4 年 7.5 月に発見された NGFW Web 管理インターフェイスに影響を与える未認証のバッファ オーバーフロー）は、より危険であると評価され、CVSS で CVE-2023-0656 の XNUMX に対して重大な評価 XNUMX を獲得しました。 、これは表向きは同じ種類の欠陥であり、約 XNUMX 年後に発見されました。

リモートの認証されていない攻撃者がHTTPリクエストを介してこの欠陥を悪用し、DoSを引き起こしたり、ファイアウォール内でコードを実行したりする可能性があるという。 レポートへ Watchtower Labs によって 10 月に公開された脆弱性について。

BishopFox は、そのレポートを基礎として CVE-2022-22274 がどのように機能するのかを詳しく調べ、独自のエクスプロイト コードを開発しました。その過程で最終的に CVE-2023-0656 を発見しました。これは研究者らはゼロデイである可能性があると考えていましたが、すでに SonicWall によって報告されていました。また、XNUMX つの欠陥が関連していることも判明しました。

研究者らは、HTTP リクエストを通じて CVE-2022-22274 をトリガーしました。このリクエストには 1024 つの条件を満たす必要がありました。URI パスが XNUMX バイトより長く、HTTP バージョン文字列がスタック カナリアの上書きを引き起こすのに十分な長さである必要がありました。

彼らは、脆弱な SonicWall シリーズ 6 および 7 仮想アプライアンス (パッチ適用済みの一部のバージョンも含む) に対して DoS 攻撃を実行することに成功しました。このため、CVE-2022-22274 にはファイアウォールにパッチが適用されていたが、CVE-2023-0656 にはパッチが適用されていなかったことに気づきました。そして両方の欠陥は、別の場所にある同じ脆弱なコード パターンによって引き起こされているとウィリアムズ氏は述べています。

「私たちの知る限り、CVE-2022-22274 と CVE-2023-0656 との関連性を証明するこれまでの研究は発表されていません」と彼は投稿の中で書いています。 「明らかに、両方の脆弱性は同じ根本的なバグを共有していますが、最初のパッチでは XNUMX か所の脆弱なコードのみが修正され、他のインスタンスは XNUMX 年後に発見され、報告されることになります。」

BishopFoxの研究者らはまた、エクスプロイトの条件のうち最初のものは満たすが、2番目のものは満たさないことで、脆弱なデバイスをオフラインにすることなく「確実に特定」できることを発見したとウィリアムズ氏は書いている。これにより、「パッチ適用バージョンのバッファ オーバーフロー チェックにより、応答なしで接続が切断されるため」、対象のデバイスからさまざまな応答が引き起こされると同氏は書いています。

「5 つの URI パスすべてに対してこれをテストしたところ、さまざまな SonicOS バージョンにわたって脆弱性チェックが信頼できることがわかりました」と Williams 氏は述べています。ビショップフォックスをリリース Python ツール SonicWall デバイスの欠陥をテストしたり悪用したりするためにも使用されます。

パッチを適用して SonicWall サイバー攻撃から保護する

世界中の何十万もの企業が SonicWall 製品を使用しており、その中には多数の政府機関や世界最大規模の企業も含まれます。広く使用されているため、デバイスが脆弱になった場合に魅力的な攻撃対象領域となります。実際、攻撃者には襲撃の歴史があります。 SonicWallの欠陥について for ランサムウェア そして他の攻撃。

現時点では、利用可能なエクスプロイトを考慮すると、潜在的な RCE 攻撃の危険性は DoS インシデントほどではありません。これは、攻撃者には、PIE、ASLR、スタック カナリアなど、いくつかの技術的ハードルを克服する必要があるためであるとウィリアムズ氏は述べています。

「おそらく、攻撃者にとってより大きな課題は、特定のターゲットが使用しているファームウェアとハ​​ードウェアのバージョンを事前に判断することです。エクスプロイトはこれらのパラメータに合わせて調整する必要があるためです」と同氏は付け加えた。 「現在、SonicWall ファイアウォールをリモートでフィンガープリンティングする技術は知られていないため、攻撃者が RCE を利用する可能性は、私たちの推定ではまだ低いです。」

いずれにしても、ネットワーク管理者はデバイスを保護するために予防措置を講じる必要があります。 BishopFoxはネットワーク管理者に対し、脆弱なデバイスをチェックするために研究者が開発したツールを使用するよう呼び掛けている。見つかった場合は、デバイスの管理インターフェイスがオンラインに公開されていないことを確認するとともに、潜在的な DoS 攻撃から保護するために最新のファームウェアへの更新を進める必要があります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/78k-sonicwall-firewalls-vulnerable-dos-rce-attacks