DoS, RCE 공격에 취약한 SonicWall 방화벽 178개 이상

인증되지 않은 서비스 거부(DoS) 취약점 2개가 보안을 위협하고 있습니다. 소닉월 차세대 방화벽 장치 중 178,000개 이상을 두 가지 모두에 노출 서비스 거부 만큼 잘 원격 코드 실행(RCE) 공격.

결함이 있지만 각각 다음과 같이 추적됩니다. CVE-2022-22274 및 CVE-2023-0656 — 보안 회사 BishopFox의 수석 보안 엔지니어인 Jon Williams는 1년 간격으로 발견되었으며 각각 악용하려면 다른 HTTP URI 경로가 필요하지만 "기본적으로 동일"하다고 썼습니다. 블로그 게시물 어제 출판되었습니다. 소닉월 영향을 받는 제품은 시리즈 6 및 7 방화벽입니다.

그는 “CVE-2022-22274와 CVE-2023-0656은 서로 다른 URI 경로의 동일한 취약점을 나타내며, 이 문제는 취약한 장치를 충돌시키는 데 쉽게 악용될 수 있습니다.”라고 썼습니다.

SonicWall 방화벽에 대한 DoS 공격 가능성이 높음

실제로 광범위한 공격의 잠재적 영향은 "심각하다"고 그는 지적했습니다. 공격자는 취약한 방화벽의 버그 중 하나 또는 둘 다를 표적으로 삼아 장치를 충돌시키거나 RCE를 수행하여 방화벽을 비활성화하고 잠재적으로 VPN을 중단시키면서 기업 네트워크에 대한 진입을 허용할 수 있기 때문입니다. 입장.

Williams는 “기본 구성에서 SonicOS는 충돌 후 다시 시작되지만 짧은 시간 내에 세 번의 충돌이 발생한 후에는 유지 관리 모드로 부팅되며 정상적인 기능을 복원하려면 관리 조치가 필요합니다.”라고 설명했습니다.

BishopFox 연구원들은 BinaryEdge 소스 데이터를 사용하여 인터넷에 노출된 관리 인터페이스로 SonicWall 방화벽을 검사한 결과 발견된 233,984개의 장치 중 178,637개가 하나 또는 두 가지 문제에 취약하다는 사실을 발견했습니다.

아직까지 두 가지 결함 중 하나가 실제로 악용되었다는 보고는 없지만 최근에 발견된 버그에 사용할 수 있는 악용 코드가 있으며 BishopFox도 해당 결함에 대한 자체 악용 코드를 개발했습니다.

영향을 받는 SonicWall 장치를 사용하는 조직의 경우 다행스럽게도 사용 가능한 최신 펌웨어는 두 가지 취약점 모두로부터 보호하며 업데이트를 통해 위험을 완화할 수 있다고 Williams는 말했습니다.

두 가지 인증되지 않은 결함에 관한 이야기

두 가지 버그 중 CVE-2022-22274(2022년 9.4월에 발견된 NGFW 웹 관리 인터페이스에 영향을 미치는 인증되지 않은 버퍼 오버플로)는 더 위험한 것으로 평가되어 CVSS에서 중요 등급 7.5, CVE-2023-0656의 XNUMX 등급을 받았습니다. , 표면적으로는 동일한 유형의 결함이며 약 XNUMX년 후에 발견되었습니다.

원격의 인증되지 않은 공격자는 HTTP 요청을 통해 이 결함을 악용하여 DoS를 유발하거나 잠재적으로 방화벽에서 코드를 실행할 수 있습니다. 보고서 Watchtower Labs가 10월에 발표한 취약점에 대해 설명합니다.

BishopFox는 이 보고서를 토대로 CVE-2022-22274의 작동 방식을 자세히 알아보고 이에 대한 자체 익스플로잇 코드를 개발했습니다. 그 과정에서 그들은 궁극적으로 CVE-2023-0656(연구원들이 제로 데이일 수 있다고 생각했지만 SonicWall에서 이미 보고한 것임)을 발견했을 뿐만 아니라 두 가지 결함이 관련되어 있음을 발견했습니다.

연구원들은 URI 경로가 2022바이트보다 길어야 하고, HTTP 버전 문자열이 스택 카나리아 덮어쓰기를 유발할 만큼 길어야 한다는 두 가지 조건을 충족해야 하는 HTTP 요청을 통해 CVE-22274-1024를 트리거했습니다.

그들은 취약한 SonicWall 시리즈 6 및 7 가상 어플라이언스, 심지어 일부 패치 버전에 대한 DoS 공격을 성공시켰습니다. 이로 인해 CVE-2022-22274는 방화벽에 패치되었지만 CVE-2023-0656은 패치되지 않았으며 두 결함 모두 다른 위치에 있는 동일한 취약한 코드 패턴으로 인해 발생한다는 사실을 깨닫게 됐다고 Williams는 말했습니다.

“우리가 아는 한, CVE-2022-22274와 CVE-2023-0656 사이의 연관성을 확립하는 이전 연구는 발표되지 않았습니다.”라고 그는 게시물에 썼습니다. "분명히 두 취약점 모두 동일한 기본 버그를 공유하지만 초기 패치에서는 취약한 코드를 한 곳에서만 수정했기 때문에 다른 인스턴스는 XNUMX년 후에 발견되어 보고될 수 있었습니다."

BishopFox 연구원들은 또한 익스플로잇 조건 중 첫 번째 조건을 충족하지만 두 번째 조건은 충족하지 않음으로써 취약한 장치를 오프라인 상태로 만들지 않고도 "신뢰할 수 있게 식별"할 수 있다는 사실을 발견했다고 Williams는 썼습니다. 그는 "패치 버전의 버퍼 오버플로 검사로 인해 응답 없이 연결이 끊어지기 때문에" 대상 장치에서 다른 응답을 이끌어낸다고 썼습니다.

Williams는 “5개의 URI 경로 모두에 대해 이를 테스트한 결과 다양한 SonicOS 버전에서 취약점 검사가 신뢰할 수 있다는 것을 확인했습니다.”라고 말했습니다. 비숍폭스 출시 파이썬 도구 SonicWall 장치의 결함을 테스트하고 악용하기 위한 것입니다.

SonicWall 사이버 공격에 대한 패치 및 보호

수많은 정부 기관과 세계 최대 규모의 기업을 포함하여 전 세계 수십만 개의 회사가 SonicWall 제품을 사용하고 있습니다. 널리 사용되면 장치가 취약해질 때 매력적인 공격 표면이 됩니다. 실제로 공격자는 공격을 가한 이력이 있습니다. SonicWall 결함에 대해 for 랜섬 그리고 다른 공격.

Williams는 공격자가 극복해야 할 몇 가지 기술적인 장애물(PIE, ASLR, 스택 카나리아 등)이 있기 때문에 현 시점에서 잠재적인 RCE 공격의 위험은 DoS 사고만큼 크지 않다고 지적했습니다.

“공격자가 특정 대상이 사용하는 펌웨어 및 하드웨어 버전을 미리 결정하는 것이 더 큰 과제일 수 있습니다. 공격은 이러한 매개변수에 맞게 조정되어야 하기 때문입니다.”라고 그는 덧붙였습니다. "현재 SonicWall 방화벽을 원격으로 지문 인식하는 기술이 알려져 있지 않기 때문에 공격자가 RCE를 활용할 가능성은 여전히 ​​낮은 것으로 추정됩니다."

그럼에도 불구하고 네트워크 관리자는 장치를 보호하기 위해 여전히 예방 조치를 취해야 합니다. BishopFox는 취약한 장치를 확인하기 위해 연구원들이 개발한 도구를 네트워크 관리자에게 사용할 것을 촉구하고 있습니다. 발견된 경우 장치의 관리 인터페이스가 온라인에 노출되지 않도록 해야 하며 잠재적인 DoS 공격으로부터 보호하기 위해 최신 펌웨어로 업데이트를 진행해야 합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/78k-sonicwall-firewalls-vulnerable-dos-rce-attacks