Hơn 178K tường lửa SonicWall dễ bị tấn công DoS và các cuộc tấn công RCE tiềm ẩn
Các nhà nghiên cứu bảo mật đã phát hiện hơn 178.000 tường lửa tiếp theo (NGFW) của SonicWall với giao diện quản lý được hiển thị trực tuyến dễ bị tấn công từ chối dịch vụ (DoS) và các cuộc tấn công thực thi mã từ xa (RCE) tiềm ẩn.
Các thiết bị này bị ảnh hưởng bởi hai lỗi bảo mật DoS được theo dõi là CVE-2022-22274 và CVE-2023-0656, lỗi trước đây cũng cho phép kẻ tấn công thực thi mã từ xa.
Jon Williams, Kỹ sư bảo mật cấp cao tại Bishop Fox cho biết: “Bằng cách sử dụng dữ liệu nguồn BinaryEdge, chúng tôi đã quét tường lửa SonicWall với các giao diện quản lý được kết nối với internet và nhận thấy rằng 76% (178.637 trong số 233.984) dễ bị tấn công trước một hoặc cả hai vấn đề”.
Theo Bishop Fox, người đã phát hiện ra cuộc tấn công khổng lồ này, mặc dù hai lỗ hổng này về cơ bản giống nhau vì chúng được gây ra bằng cách sử dụng lại cùng một mẫu mã dễ bị tấn công, nhưng chúng có thể bị khai thác ở các đường dẫn HTTP URI khác nhau.
Williams cho biết: “Nghiên cứu ban đầu của chúng tôi đã xác nhận khẳng định của nhà cung cấp rằng không có cách khai thác nào; tuy nhiên, khi xác định được mã dễ bị tấn công, chúng tôi phát hiện ra đó chính là vấn đề được công bố một năm sau đó với tên CVE-2023-0656”.
“Chúng tôi phát hiện ra rằng CVE-2022-22274 được gây ra bởi cùng một mẫu mã dễ bị tấn công ở một vị trí khác và hoạt động khai thác đã hoạt động dựa trên ba đường dẫn URI bổ sung.”
Ngay cả khi kẻ tấn công không thể thực thi mã trên thiết bị được nhắm mục tiêu, chúng vẫn có thể khai thác lỗ hổng để buộc thiết bị đó vào chế độ bảo trì, yêu cầu quản trị viên can thiệp để khôi phục chức năng tiêu chuẩn.
Do đó, ngay cả khi không xác định được liệu có thể thực thi mã từ xa hay không, kẻ xấu vẫn có thể lợi dụng các lỗ hổng này để vô hiệu hóa tường lửa biên và quyền truy cập VPN mà chúng cung cấp cho mạng công ty.
Theo dữ liệu từ nền tảng giám sát mối đe dọa Shadowserver, hơn 500.000 tường lửa SonicWall hiện đang bị lộ trực tuyến, trong đó có hơn 328.000 tường lửa ở Hoa Kỳ.
Tường lửa SonicWall tiếp xúc với Internet (ShadowServer)
Mặc dù đội ngũ ứng phó sự cố bảo mật sản phẩm SonicWall (PSIRT) cho biết họ không biết rằng những lỗ hổng này đã bị khai thác trên thực tế, nhưng ít nhất một cách khai thác bằng chứng khái niệm (PoC) đã có sẵn trực tuyến cho CVE-2022-22274.
Williams cho biết: “SSD Labs đã phát hành một bản ghi kỹ thuật về lỗi này kèm theo bằng chứng về khái niệm, lưu ý hai đường dẫn URI nơi lỗi có thể được kích hoạt”.
Quản trị viên nên đảm bảo giao diện quản lý của thiết bị SonicWall NGFW của họ không bị lộ trực tuyến và nên nâng cấp lên phiên bản chương trình cơ sở mới nhất càng sớm càng tốt.
Các thiết bị của SonicWall trước đây đã trở thành mục tiêu trong các cuộc tấn công gián điệp mạng và bởi nhiều nhóm ransomware, bao gồm HelloKitty và FiveHands).
Chẳng hạn, vào tháng 3 năm ngoái, SonicWall PSIRT và Mandiant đã tiết lộ rằng các tin tặc Trung Quốc bị nghi ngờ đã cài đặt phần mềm độc hại tùy chỉnh trên các thiết bị Truy cập di động an toàn SonicWall (SMA) chưa được vá để tồn tại lâu dài trong các chiến dịch gián điệp mạng.
Vào tháng 7, khách hàng cũng đã được cảnh báo khẩn cấp vá nhiều lỗi bỏ qua xác thực quan trọng trong các sản phẩm báo cáo mạng Analytics và quản lý tường lửa GMS của họ.
Danh sách khách hàng của SonicWall bao gồm hơn 500.000 doanh nghiệp từ hơn 215 quốc gia và vùng lãnh thổ, bao gồm các cơ quan chính phủ và một số công ty lớn nhất trên toàn thế giới.
Nguồn: bleepingcomputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA