Более 178 000 межсетевых экранов SonicWall уязвимы для удаленного выполнения кода

ИБ-компания Bishop Fox обнаружила, что более 178 000 межсетевых экранов нового поколения SonicWall (next-generation firewalls, NGFW), у которых интерфейс управления доступен онлайн, уязвимы для DoS-атак (Denial of Service, отказ в обслуживании) и удаленного выполнения кода (Remote Code Execution, RCE).

Устройства подвержены двум уязвимостям:

• CVE-2022-22274 (оценка CVSS: 9.8): уязвимость переполнения буфера (Buffer Overflow) на основе стека в SonicOS через HTTP-запрос позволяет удаленному неаутентифицированному злоумышленнику вызвать отказ в обслуживании (DoS) или потенциально привести к выполнению кода в брандмауэре.
• CVE-2023-0656 (оценка CVSS: 7.5): уязвимость переполнения буфера в стеке SonicOS позволяет удаленному неаутентифицированному атакующему вызвать отказ в обслуживании (DoS), что может привести к сбою брандмауэра.

Специалисты Bishop Fox просканировали межсетевые экраны SonicWall с интерфейсами управления, доступными из интернета, и обнаружили, что 76% (178 637 из 233 984) уязвимы для одной или обеих проблем.

Даже если злоумышленники не могут выполнить код на целевом устройстве, они могут использовать уязвимости, чтобы перевести его в режим технического обслуживания, что потребует вмешательства администраторов для восстановления стандартной функциональности. Таким образом, даже если удаленное выполнение кода невозможно, атакующий по-прежнему может использовать уязвимости, чтобы отключить межсетевые экраны периметра и предоставляемый ими доступ к корпоративным сетям через VPN.

Хотя команда реагирования на инциденты безопасности продуктов SonicWall (Product Security Incident Response Team, PSIRT) сообщает, что им неизвестно об использовании уязвимостей в реальных условиях, по крайней мере один PoC-эксплойт (Proof-of-Concept) доступен онлайн для CVE-2022-22274. SSD Labs опубликовала техническое описание ошибки с PoC-эксплойтом, отметив два пути URI, где можно было инициировать ошибку.

Администраторам рекомендуется убедиться, что интерфейс управления межсетевыми экранами SonicWall не доступен онлайн, и как можно скорее обновить ПО до последних версий.

Ранее SonicWall уже подвергалась эксплуатации. Например, в марте 2023 года стало известно, что китайские хакеры эксплуатируют неисправленные шлюзы SonicWall и заражают устройства вредоносным ПО для кражи учетных данных, которое сохраняется после обновления прошивки. А в январе 2021 года SonicWall сообщила о проникновении хакеров во внутренние системы компании через уязвимость нулевого дня в VPN-продуктах SonicWall.