178K+ SonicWall-firewalls kwetsbaar voor DoS- en RCE-aanvallen

Twee niet-geauthenticeerde Denial-of-Service (DoS)-kwetsbaarheden vormen een bedreiging voor de veiligheid van Sonicwall firewall-apparaten van de volgende generatie, waardoor meer dan 178,000 van hen aan beide worden blootgesteld DoS net zoals uitvoering van code op afstand (RCE) aanvallen.

Hoewel de gebreken - respectievelijk bijgehouden als CVE-2022-22274 en CVE-2023-0656 – een jaar na elkaar werden ontdekt, zijn ze ‘fundamenteel hetzelfde’, hoewel ze elk een ander HTTP-URI-pad nodig hebben om te kunnen exploiteren, schreef Jon Williams, senior beveiligingsingenieur bij beveiligingsbedrijf BishopFox, in een blog post gisteren gepubliceerd. Sonicwall getroffen producten zijn serie 6 en 7 firewalls.

“CVE-2022-22274 en CVE-2023-0656 vertegenwoordigen dezelfde kwetsbaarheid op verschillende URI-paden, een probleem dat gemakkelijk kan worden uitgebuit om kwetsbare apparaten te laten crashen”, schreef hij.

Groot potentieel voor DoS-aanvallen op SonicWall Firewalls

De potentiële impact van een wijdverbreide aanval is ‘ernstig’, merkte hij op, omdat aanvallers zich kunnen richten op een of beide bugs op kwetsbare firewalls om het apparaat te laten crashen of RCE uit te voeren, waardoor firewalls worden uitgeschakeld en mogelijk toegang tot bedrijfsnetwerken mogelijk wordt gemaakt terwijl VPN wordt uitgeschakeld. toegang.

“In de standaardconfiguratie herstart SonicOS na een crash, maar na drie crashes in korte tijd start het op in de onderhoudsmodus en vereist administratieve actie om de normale functionaliteit te herstellen”, legt Williams uit.

BishopFox-onderzoekers gebruikten BinaryEdge-brongegevens om SonicWall-firewalls te scannen met beheerinterfaces die zijn blootgesteld aan internet en ontdekten dat van de 233,984 ontdekte apparaten er 178,637 kwetsbaar zijn voor een of beide problemen.

Hoewel er tot nu toe geen berichten zijn dat beide fouten in het wild zijn uitgebuit, is er wel exploitcode beschikbaar voor de recentelijk ontdekte bug, en heeft BishopFox ook zijn eigen exploitcode voor de fouten ontwikkeld.

Gelukkig voor organisaties die de getroffen SonicWall-apparaten gebruiken, beschermt de nieuwste beschikbare firmware tegen beide kwetsbaarheden, en kan een update de risico's beperken, aldus Williams.

Een verhaal over twee niet-geauthenticeerde gebreken

Van de twee bugs werd CVE-2022-22274 – een niet-geverifieerde bufferoverflow die de NGFW-webbeheerinterfaces aantast die in maart 2022 werd ontdekt – als gevaarlijker beoordeeld en kreeg een kritische beoordeling van 9.4 op de CVSS versus de 7.5 van CVE-2023-0656. , wat ogenschijnlijk hetzelfde soort fout is en ongeveer een jaar later werd ontdekt.

Een externe, niet-geverifieerde aanvaller zou de fout kunnen misbruiken via een HTTP-verzoek om DoS te veroorzaken of mogelijk code in de firewall uit te voeren. naar een rapport door Watchtower Labs over de kwetsbaarheid die in oktober werd gepubliceerd.

BishopFox gebruikte dat rapport als basis voor een diepere duik in de werking van CVE-2022-22274, en om er hun eigen exploitcode voor te ontwikkelen. Tijdens het proces ontdekten ze uiteindelijk CVE-2023-0656 – waarvan de onderzoekers dachten dat het een zero-day zou kunnen zijn, maar die al door SonicWall was gerapporteerd – en ontdekten ze dat de twee fouten met elkaar verband hielden.

De onderzoekers activeerden CVE-2022-22274 via een HTTP-verzoek dat aan twee voorwaarden moest voldoen: het URI-pad moet langer zijn dan 1024 bytes, en de HTTP-versiestring moet lang genoeg zijn om een ​​stack canary-overschrijving te veroorzaken.

Ze slaagden erin een DoS-aanval uit te voeren op kwetsbare virtuele apparaten uit de SonicWall-serie 6 en 7, zelfs op enkele gepatchte versies. Dit is wat hen ertoe bracht te beseffen dat terwijl CVE-2022-22274 op de firewalls was gepatcht, CVE-2023-0656 dat niet was – en beide fouten worden veroorzaakt door hetzelfde kwetsbare codepatroon op een andere plaats, zei Williams.

“Voor zover wij weten, is er geen eerder onderzoek gepubliceerd waarin een verband werd gelegd tussen CVE-2022-22274 en CVE-2023-0656”, schreef hij in de post. “Het is duidelijk dat beide kwetsbaarheden dezelfde onderliggende bug gemeen hebben, maar de eerste patch repareerde de kwetsbare code slechts op één plek, waardoor de andere exemplaren een jaar later gevonden en gerapporteerd moesten worden.”

BishopFox-onderzoekers ontdekten ook dat ze kwetsbare apparaten “op betrouwbare wijze konden identificeren” zonder ze offline te halen door aan de eerste van de voorwaarden van hun exploit te voldoen, maar niet aan de tweede, schreef Williams. Dit lokt verschillende reacties uit van het beoogde apparaat “omdat de bufferoverflowcontrole in gepatchte versies ervoor zorgt dat de verbinding wordt verbroken zonder een reactie”, schreef hij.

“We hebben dit getest aan de hand van alle vijf de URI-paden en ontdekten dat de kwetsbaarheidscontrole betrouwbaar was voor een grote verscheidenheid aan SonicOS-versies”, aldus Williams. BisschopFox vrijgegeven een Python-tool voor het testen en zelfs exploiteren van de fouten op SonicWall-apparaten.

Patch en bescherm tegen SonicWall-cyberaanvallen

Honderdduizenden bedrijven over de hele wereld gebruiken SonicWall-producten, waaronder talloze overheidsinstanties en enkele van de grootste ondernemingen ter wereld. Het wijdverbreide gebruik ervan maakt ze tot een aantrekkelijk aanvalsoppervlak wanneer apparaten kwetsbaar worden; aanvallers hebben inderdaad een geschiedenis van aanvallen over SonicWall-fouten For ransomware en andere aanvallen.

Op dit moment schuilt het gevaar niet zozeer in een potentiële RCE-aanval als wel in een DoS-incident, gezien de beschikbare exploit, omdat aanvallers een paar technische hindernissen moeten overwinnen – waaronder PIE, ASLR en stack canaries, merkte Williams op.

“Misschien is een grotere uitdaging voor een aanvaller het vooraf bepalen welke firmware- en hardwareversies een bepaald doelwit gebruikt, omdat de exploit op deze parameters moet worden afgestemd”, voegde hij eraan toe. “Aangezien er momenteel geen techniek bekend is voor het op afstand vingerafdrukken van SonicWall-firewalls, is de kans dat aanvallers gebruik maken van RCE, naar onze inschatting, nog steeds laag.”

Hoe dan ook, netwerkbeheerders moeten nog steeds voorzorgsmaatregelen nemen om apparaten te beveiligen. BishopFox dringt er bij netwerkbeheerders op aan om de tool te gebruiken die de onderzoekers hebben ontwikkeld om te controleren op kwetsbare apparaten. Als ze worden gevonden, moeten ze ervoor zorgen dat de beheerinterface van een apparaat niet online wordt weergegeven, en moeten ze doorgaan met een update naar de nieuwste firmware om zich te beschermen tegen een mogelijke DoS-aanval.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/78k-sonicwall-firewalls-vulnerable-dos-rce-attacks