Istraživači sigurnosti su otkrili da je preko 178.000 SonicWall firewall-a nove generacije (NGFW) sa interfejsom za upravljanje izloženim na mreži ranjivo na napade uskraćivanja usluge (DoS) i potencijalnog daljinskog izvršavanja koda (RCE).
Na ove uređaje utiču dva DoS bezbjednosna propusta praćena kao CVE-2022-22274 i CVE-2023-0656, prvi takođe omogućava napadačima daljinsko izvršenje koda.
“Koristeći izvorne podatke BinaryEdge-a, skenirali smo SonicWall firewall sa upravljačkim interfejsima izloženim internetu i otkrili da je 76% (178.637 od 233.984) ranjivo na jedan ili oba problema”, rekao je Jon Williams, viši inženjer sigurnosti u Bishop Fox-u.
Iako su te dvije ranjivosti u suštini iste jer su uzrokovane ponovnom upotrebom istog ranjivog obrasca koda, one se mogu iskoristiti na različitim HTTP URI putanjama, kaže Bishop Fox, koji je otkrio ovu masivnu površinu napada.
“Naše početno istraživanje potvrdilo je tvrdnju dobavljača da eksploatacija nije bila dostupna; međutim, kada smo identifikovali ranjivi kod, otkrili smo da se radi o istom problemu najavljenom godinu dana kasnije kao CVE-2023-0656”, rekao je Williams.
“Otkrili smo da je CVE-2022-22274 uzrokovan istim ranjivim kodom na drugom mjestu, a eksploatacija je radila protiv tri dodatne URI putanje.”
Čak i ako napadači ne mogu izvršiti kod na ciljanom uređaju, mogu iskoristiti ranjivosti kako bi ga prisilili u režim održavanja, zahtijevajući intervenciju administratora kako bi se vratila standardna funkcionalnost.
Stoga, čak i ako nije utvrđeno da li je moguće daljinsko izvršavanje koda, loši hakeri i dalje mogu iskoristiti ove ranjivosti da onemoguće edge firewall i VPN pristup koji pružaju korporativnim mrežama.
Više od 500.000 SonicWall firewall-a trenutno je izloženo na mreži, sa preko 328.000 u Sjedinjenim Državama, prema podacima platforme za praćenje prijetnji Shadowserver.
SonicWall firewall–i izloženi na internetu (ShadowServer)
Dok SonicWall Product Security Incident Response Team (PSIRT) kaže da nema saznanja da su ove ranjivosti iskorištavane u stvarnosti, barem je jedan exploit za dokaz koncepta (PoC) dostupan na mreži za CVE-2022-22274.
“SSD Labs je objavio tehnički opis greške s dokazom koncepta, navodeći dvije URI putanje gdje se greška može pokrenuti”, rekao je Williams.
Adminima se savjetuje da osiguraju da interfejs za upravljanje njihovim SonicWall NGFW uređajima nije izložen na mreži i da što prije nadograde na najnovije verzije firmvera.
SonicWall-ovi uređaji su ranije bili meta napada sajber špijunaže i od strane više ransomware grupa, uključujući HelloKitty i FiveHands.
Na primjer, prošlog marta, SonicWall PSIRT i Mandiant su otkrili da su sumnjivi kineski hakeri instalirali prilagođeni malver na nezakrpljene SonicWall Secure Mobile Access (SMA) uređaje za dugoročnu istrajnost u kampanjama sajber špijunaže.
Kupci su takođe u julu upozoreni da hitno poprave višestruke kritične greške zaobilaženja autentifikacije u GMS firewall-u kompanije i proizvodima za izvještavanje o analitici mreže.
SonicWall-ova lista kupaca uključuje preko 500.000 preduzeća iz više od 215 zemalja i teritorija, uključujući vladine agencije i neke od najvećih kompanija širom svijeta.
Izvor: BleepingComputer