Af Eskil Sørensen, 19/01/24
Det er en kendt sag, at cyberkriminelle udnytter sårbarheder i organisationer. Det er også en kendt sag, at man skal holde sine systemer og enheder opdateret for at afværge den angrebsflade, som hedder udnyttelse af tekniske sårbarheder i systemer og produkter. Trods dette er der stadig historier om åbne, upatchede enheder, som kan findes ved udførelse af sårbarhedsscanninger.
Således også i denne omgang, hvor researchere fra sikkerhedsfirmaet Bishop Fox netop har fundet over 175.000 SonicWall firewalls sårbare overfor to CVE-numre og dermed offentligt udnyttelige.
Det skriver Security Affairs på baggrund af en rapport for Forescout.
Det drejer sig konkret om SonicWall næste generation af firewall-enheder (NGFW) serie 6 og 7, der er påvirket af to sårbarheder (id'erne CVE-2022-22274 og CVE-2023-0656). SonicWall har ikke kendkab til udnyttelse in-the-wild mod de to sårbarheder, på trods af at der er frigivet en proof-of-concept-udnyttelse af den ene af dem (CVE-2023-0656, CVSS 7,5)). Denne er en 'stack based' bufferoverløbssårbarhed i SonicOS, som en ekstern uautoriseret angriber via en HTTP-anmodning kan udnytte til at forårsage Denial of Service (DoS) eller få firewall'en til at crashe. CVE-2022-22274 (CVSS 9,4) er også en stack based bufferoverløbssårbarhed i SonicOS, som kan udnyttes af en en ekstern uautoriseret angriber via en HTTP-anmodning til at forårsage Denial of Service (DoS) eller køre kode kode i firewall'en.
Researchere fra Bishop Fox brugte BinaryEdge-kildedata til at finde SonicWall-firewalls med administrationsgrænseflader udsat for internettet. De fandt, at 76 % (178.637 af 233.984) af de internetvendte firewalls er sårbare over for et eller begge problemer. Den ene sårbarhed er fra 2022 og den anden fra 2023. Det er med andre ord gamle problemer.
Det anbefales, at administratorer af sårbare enheder fjerner webadministrationsgrænsefladen fra offentlig adgang og opgraderer firmwaren til den seneste tilgængelige version.
Links:
https://thehackernews.com/2024/01/alert-over-178000-sonicwall-firewalls.html
https://www.theregister.com/2024/01/16/more_than_178000_sonicwall_firewalls/
https://securityaffairs.com/157524/hacking/vulnerable-sonicwall-ngfw-exposed-online.html