Bishop Fox 的研究人员发现超过 178,000 个 SonicWall 下一代防火墙 (NGFW) 被公开利用。
SonicWall 下一代防火墙 (NGFW) 6 和 7 系列设备存在两个未经身份验证的拒绝服务漏洞(分别为 CVE-2022-22274 和 CVE-2023-0656),可能会导致远程代码执行。尽管 CVE-2023-0656 的PoC已公开发布,但截至目前,供应商尚未收到这些漏洞在野攻击利用的报告。
研究人员利用 BinaryEdge源数据扫描了管理界面暴露于互联网的 SonicWall 防火墙,发现其中76%容易受到1-2个安全问题的潜在影响。
这两个漏洞在本质上相同,都是由于重用了易受攻击的代码模式,但可以在不同的 HTTP URI 路径上进行利用。
研究人员还研发了一个测试脚本,用于在不引起设备崩溃的情况下评估设备是否容易受到攻击。这表明,可能存在大规模攻击对系统造成严重影响的风险。
Bishop Fox在最新的公告中提到:在默认配置下,SonicOS 在崩溃后会自动重新启动。然而,如果在短时间内发生了3次崩溃,系统将进入维护模式,需要管理员进行操作才能恢复正常功能。
![超 17.8 万个 SonicWall 防火墙遭黑客攻击]( "超 17.8 万个 SonicWall 防火墙遭黑客攻击")
根据ZoomEye网络空间搜索引擎的测绘数据,目前有超过200万个 SonicWall 防火墙暴露在网络上,其中美国占比超过 50%。
![超 17.8 万个 SonicWall 防火墙遭黑客攻击]( "超 17.8 万个 SonicWall 防火墙遭黑客攻击")
暴露互联网上的 SonicWall 防火墙数量分布 (ZoomEye)
研究人员建议易受攻击设备的管理员将 Web 管理界面限制在内部网络,并确保及时升级设备固件至最新版本。
公告还指出:“攻击者目前可以轻松利用漏洞进行拒绝服务攻击,但正如 SonicWall 在其建议中所述,存在潜在可能性使攻击者能够远程执行代码。虽然设计出可执行任意命令的漏洞是可能的,但要克服一些挑战,包括 PIE、ASLR 和stack canaries,需要进一步的研究。”
公告总结道:“对于攻击者而言,更大的挑战在于攻击前确定目标使用的具体固件和硬件版本,因为攻击需要根据这些参数进行个性化定制,由于目前尚无已知技术可以对SonicWall防火墙进行远程指纹识别,因此我们估计攻击者利用RCE的可能性仍然较低。
(消息来源:https://securityaffairs.com/157524/hacking/vulnerable-sonicwall-ngfw-exposed-online.html)
原文始发于微信公众号(安全威胁纵横):超 17.8 万个 SonicWall 防火墙遭黑客攻击
评论