Güvenlik araştırmacıları, çevrimiçi olarak maruz kalan yönetim arayüzü ile 178.000'den fazla Sonicwall'ın yeni nesil güvenlik duvarlarının (NGFW) hizmet reddi (DOS) ve potansiyel uzaktan kod yürütme (RCE) saldırılarına karşı savunmasız olduğunu buldular.
Bu cihazlar, CVE-2022-22274 ve CVE-2023-0656 olarak izlenen iki DOS güvenlik kusurundan etkilenir, birincisi de saldırganların uzaktan kod yürütülmesine izin verir.
Bishop Fox'un üst düzey güvenlik mühendisi Jon Williams, "Binaryedge kaynak verilerini kullanarak, Sonicwall güvenlik duvarlarını internete maruz kalan yönetim arayüzleri ile taradık ve% 76'sının (233,984'ün 178.637'si) bir veya her iki soruna karşı savunmasız olduğunu bulduk." Dedi.
Her ne kadar iki güvenlik açığı esasen aynı savunmasız kod modelini yeniden kullanma ile aynı olmasına rağmen, bu büyük saldırı yüzeyini keşfeden Bishop Fox'a göre, farklı HTTP URI yollarında sömürülebilir.
Williams, "İlk araştırmamız satıcının hiçbir istismar bulunmadığı iddiasını doğruladı; ancak savunmasız kodu belirledikten sonra, bir yıl sonra CVE-2023-0656 ile aynı sorunun duyurulduğunu keşfettik." Dedi.
"CVE-2022-22274'e farklı bir yerde aynı savunmasız kod deseninden kaynaklandığını ve istismarın üç ek Uri yoluna karşı çalıştığını bulduk."
Saldırganlar hedeflenen bir cihazda kod yürütemeseler bile, onu bakım moduna zorlamak için güvenlik açıklarından yararlanabilir ve yöneticilerin standart işlevselliği geri kazanmaya müdahale gerektirir.
Bu nedenle, uzaktan kod yürütülmesinin mümkün olup olmadığı belirlenmese bile, kötü aktörler, kenar güvenlik duvarlarını ve kurumsal ağlara sağladıkları VPN erişimini devre dışı bırakmak için bu güvenlik açıklarından yararlanabilirler.
Tehdit izleme platformu Shadowserver verilerine göre, 500.000'den fazla Sonicwall güvenlik duvarı şu anda çevrimiçi olarak ABD'de 328.000'den fazla maruz kalıyor.
Sonicwall Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu güvenlik açıklarının vahşi doğada kullanıldığına dair hiçbir bilgiye sahip olmadığını söylerken, en az bir kavram kanıtı (POC) istismar CVE-2022-22274 için çevrimiçi olarak mevcuttur.
Williams, "SSD laboratuvarları, hatanın tetiklenebileceği iki URI yoluna dikkat çekerek, bir konsept kanıtı ile hatanın teknik bir yazımını yayınlamıştı." Dedi.
Yöneticilere Sonicwall NGFW Aletlerinin Yönetim Arayüzü'nün çevrimiçi olarak maruz kalmamasını ve en kısa sürede en son ürün yazılımı sürümlerine yükseltmelerini sağlamaları tavsiye edilir.
Sonicwall'un cihazları daha önce siber-ihale saldırılarında ve Hellokitty ve FiveHands dahil olmak üzere birden fazla fidye yazılımı çetesi tarafından hedef alınmıştır.
Örneğin, geçen Mart, Sonicwall PSIRT ve Mantiant, şüpheli Çinli hackerların siber-ihale kampanyalarında uzun vadeli kalıcılık için açılmamış Sonicwall Güvenli Mobil Erişim (SMA) cihazlarına özel kötü amaçlı yazılım kurduklarını açıkladı.
Müşteriler ayrıca Temmuz ayında, şirketin GMS GMS güvenlik duvarı yönetimi ve analitik ağı raporlama ürünlerindeki birden fazla kritik kimlik doğrulama baypas kusurlarını acilen yamaladı.
Sonicwall'un müşteri listesi, devlet kurumları ve dünya çapındaki en büyük şirketlerden bazıları da dahil olmak üzere 215'den fazla ülke ve bölgeden 500.000'den fazla işletmeyi içermektedir.
Kritik Sonicwall Güvenlik Duvarı Yaması Tüm cihazlar için yayınlanmadı
Citrix, saldırılarda sömürülen yeni Netscaler sıfır günlerini uyarıyor
Juniper, güvenlik duvarlarında ve anahtarlarında kritik RCE hatası uyarıyor
Microsoft, Perforce Helix Core Server'daki kritik RCE kusurunu keşfeder
Sophos Backports RCE Desteklenmemiş Güvenlik Duvarlarına Saldırılardan Sonra Fix
Kaynak: Bleeping Computer