Mais de 178 mil firewalls SonicWall vulneráveis ​​a ataques DoS e RCE

Duas vulnerabilidades não autenticadas de negação de serviço (DoS) estão ameaçando a segurança de SonicWall dispositivos de firewall de última geração, expondo mais de 178,000 deles a ambos DoS assim como execução remota de código (RCE) ataques.

Embora as falhas - rastreadas respectivamente como CVE-2022-22274 e CVE-2023-0656 – foram descobertos com um ano de diferença, eles são “fundamentalmente iguais”, embora cada um exija um caminho de URI HTTP diferente para ser explorado, escreveu Jon Williams, engenheiro de segurança sênior da empresa de segurança BishopFox, em um post de blog publicado ontem. SonicWall os produtos afetados são os firewalls das séries 6 e 7.

“CVE-2022-22274 e CVE-2023-0656 representam a mesma vulnerabilidade em diferentes caminhos URI, um problema que é facilmente explorado para travar dispositivos vulneráveis”, escreveu ele.

Alto potencial para ataques DoS em firewalls SonicWall

Na verdade, o impacto potencial de um ataque generalizado é “severo”, observou ele, já que os invasores podem atacar um ou ambos os bugs em firewalls vulneráveis ​​para travar o dispositivo ou executar RCE, desativando firewalls e potencialmente permitindo a entrada em redes corporativas enquanto desativam a VPN. acesso.

“Em sua configuração padrão, o SonicOS reinicia após uma falha, mas após três falhas em um curto período de tempo ele inicializa no modo de manutenção e requer ação administrativa para restaurar a funcionalidade normal”, explicou Williams.

Os pesquisadores da BishopFox usaram dados de origem BinaryEdge para verificar os firewalls SonicWall com interfaces de gerenciamento expostas à Internet e descobriram que dos 233,984 dispositivos descobertos, 178,637 são vulneráveis ​​a um ou ambos os problemas.

Embora até agora não haja relatos de que qualquer uma das falhas tenha sido explorada, há código de exploração disponível para o bug descoberto mais recentemente, e o BishopFox também desenvolveu seu próprio código de exploração para as falhas.

Felizmente para as organizações que usam os dispositivos SonicWall afetados, o firmware mais recente disponível protege contra ambas as vulnerabilidades e uma atualização pode mitigar os riscos, disse Williams.

Uma história de duas falhas não autenticadas

Dos dois bugs, CVE-2022-22274 – um buffer overflow não autenticado que afeta as interfaces de gerenciamento da web NGFW descoberto em março de 2022 – foi classificado como mais perigoso, ganhando uma classificação crítica de 9.4 no CVSS contra a classificação de 7.5 de CVE-2023-0656 , que é aparentemente o mesmo tipo de falha e foi descoberta cerca de um ano depois.

Um invasor remoto e não autenticado poderia explorar a falha por meio de uma solicitação HTTP para causar DoS ou potencialmente executar código no firewall, de acordo com para um relatório pela Watchtower Labs sobre a vulnerabilidade publicada em outubro.

BishopFox usou esse relatório como base para um mergulho mais profundo na mecânica de funcionamento do CVE-2022-22274 e para desenvolver seu próprio código de exploração para ele. No processo, eles finalmente descobriram o CVE-2023-0656 – que os pesquisadores pensaram que poderia ser um dia zero, mas que já havia sido relatado pela SonicWall – e também descobriram que as duas falhas estão relacionadas.

Os pesquisadores acionaram o CVE-2022-22274 por meio de uma solicitação HTTP que precisava satisfazer duas condições: o caminho do URI deve ser maior que 1024 bytes e a string da versão HTTP deve ser longa o suficiente para causar uma substituição canário de pilha.

Eles conseguiram realizar um ataque DoS contra dispositivos virtuais SonicWall séries 6 e 7 vulneráveis, até mesmo algumas versões corrigidas. Isso foi o que os levou a perceber que, embora o CVE-2022-22274 tenha sido corrigido nos firewalls, o CVE-2023-0656 não foi – e ambas as falhas são causadas pelo mesmo padrão de código vulnerável em um local diferente, disse Williams.

“Até onde sabemos, nenhuma pesquisa anterior foi publicada estabelecendo uma ligação entre CVE-2022-22274 e CVE-2023-0656”, escreveu ele no post. “Claramente, ambas as vulnerabilidades compartilham o mesmo bug subjacente, mas o patch inicial apenas corrigiu o código vulnerável em um lugar, deixando as outras instâncias para serem encontradas e relatadas um ano depois.”

Os pesquisadores da BishopFox também descobriram que poderiam “identificar de forma confiável” dispositivos vulneráveis ​​sem desligá-los, satisfazendo a primeira das condições de sua exploração, mas não a segunda, escreveu Williams. Isso provoca respostas diferentes do dispositivo alvo “porque a verificação de buffer overflow em versões corrigidas faz com que a conexão seja interrompida sem resposta”, escreveu ele.

“Testamos isso em todos os cinco caminhos URI e descobrimos que a verificação de vulnerabilidade era confiável em uma ampla variedade de versões do SonicOS”, disse Williams. BispoFox lançado uma ferramenta Python para testar e até explorar as falhas nos dispositivos SonicWall.

Corrija e proteja contra ataques cibernéticos da SonicWall

Centenas de milhares de empresas em todo o mundo usam produtos SonicWall, incluindo inúmeras agências governamentais e algumas das maiores empresas do mundo. Seu uso generalizado os torna uma superfície de ataque atraente quando os dispositivos se tornam vulneráveis; na verdade, os invasores têm um histórico de atacar nas falhas do SonicWall para ransomware e outros ataques.

Neste ponto, o perigo não está tanto em um ataque RCE potencial, mas em um incidente DoS, dada a exploração disponível, porque os invasores teriam alguns obstáculos técnicos a superar – incluindo PIE, ASLR e canários de pilha, observou Williams.

“Talvez um desafio maior para um invasor seja determinar antecipadamente quais versões de firmware e hardware um alvo específico está usando, já que a exploração deve ser adaptada a esses parâmetros”, acrescentou. “Como nenhuma técnica é atualmente conhecida para identificar remotamente os firewalls SonicWall, a probabilidade de invasores aproveitarem o RCE é, em nossa estimativa, ainda baixa.”

Independentemente disso, os administradores de rede ainda devem tomar precauções para proteger os dispositivos. BishopFox está incentivando os administradores de rede a usarem a ferramenta desenvolvida pelos pesquisadores para verificar dispositivos vulneráveis. Se encontrados, eles devem garantir que a interface de gerenciamento de um dispositivo não seja exposta on-line, bem como prosseguir com uma atualização para o firmware mais recente para proteger contra um possível ataque DoS.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/78k-sonicwall-firewalls-vulnerable-dos-rce-attacks