SonicWall оставила уязвимость в своих VPN-продуктах частично неисправленной

SonicWall оставила уязвимость в своих VPN-продуктах частично неисправленной

Неисправный патч для уязвимости CVE-2020-5135 привел к появлению еще одной уязвимости.

image

Критическая уязвимость в SonicWall VPN, патч для которой вышел в прошлом году, оказалась исправленной неполностью. Как оказалось, все это время оставалась неисправленной проблема утечки памяти, позволяющая удаленному атакующему получить доступ к чувствительной информации. Производитель выпустил второй патч 22 июня 2021 года.

Уязвимость CVE-2021-20019 (5,3 балла по шкале оценивания опасности CVSS) существует из-за утечки памяти в процессе отправки особым образом сконфигурированного неавторизованного HTTP-запроса.

Стоит отметить, что решение SonicWall отложить выпуск патча было принято на фоне сообщений о нескольких уязвимостях нулевого дня в ее VPN-сервисах и продуктах для обеспечения безопасности электронной почты, использовавшихся в ряде атак для развертывания бэкдоров и нового вымогательского ПО под названием FIVEHANDS. Как бы то ни было, никаких свидетельств эксплуатации уязвимости CVE-2021-20019 в реальных атаках зафиксировано не было.

Как пояснил производитель, физические и виртуальные межсетевые экраны SonicWall, работающие под управлением определенных версий SonicOS, могут содержать уязвимость, при которой в ответе HTTP-сервера происходит утечка памяти. Это потенциально может привести к раскрытию внутренних конфиденциальных данных.

Первоначальная уязвимость CVE-2020-5135 (9,4 балла по шкале CVSS), представляет собой переполнение буфера, позволяющее удаленному атакующему вызвать отказ в обслуживании и потенциально выполнить произвольный код путем отправки межсетевому экрану вредоносного запроса. Хотя компания SonicWall выпустила патч в октябре 2020 года, дополнительное тестирование, проведенное ИБ-компанией Tripwire, выявило утечку памяти в результате «неправильного исправления CVE-2020-5135».

на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.