超 17.8 万个 SONICWALL 防火墙遭黑客攻击

SonicWall 下一代防火墙 （NGFW） 系列 6 和 7 设备受到两个未经身份验证的拒绝服务漏洞的影响，分别跟踪为 CVE-2022-22274 和 CVE-2023-0656，这可能导致远程代码执行。尽管公开发布了针对该漏洞 CVE-2023-0656 的概念验证漏洞，但供应商并未发现利用这些漏洞的野外攻击。

Bishop Fox 的研究人员使用 BinaryEdge 源数据来查找具有暴露在互联网上的管理界面的 SonicWall 防火墙。专家们发现，76%（233,984 个中的 178,637 个）面向互联网的防火墙容易受到一个或两个问题的影响。

专家们指出，这两个问题在本质上是相同的，但由于重用了易受攻击的 Code Pattern，因此可以在不同的 HTTP URI 路径上被利用。研究人员还开发了一个测试脚本，以确定设备是否易受攻击，而不会使其崩溃。

这意味着大规模攻击的影响可能很严重。

“在默认配置中，SonicOS在崩溃后重新启动，但在短时间内发生三次崩溃后，它会启动进入维护模式，需要管理操作才能恢复正常功能，”Bishop Fox发布的公告中写道。“最新的可用固件可以防止这两个漏洞，因此请务必立即升级（并确保管理界面不会暴露在互联网上）。

研究人员建议易受攻击设备的管理员从公共访问中删除 Web 管理界面，并将固件升级到最新的可用版本。

“在这个时间点，攻击者可以很容易地利用此漏洞造成拒绝服务，但正如 SonicWall 在其公告中指出的那样，存在远程代码执行的可能性。虽然有可能设计出可以执行任意命令的漏洞利用，但还需要额外的研究来克服一些挑战，包括 PIE、ASLR 和堆栈金丝雀。“对于攻击者来说，也许更大的挑战是提前确定特定目标正在使用的固件和硬件版本，因为漏洞必须根据这些参数进行定制。由于目前还没有已知的远程指纹识别 SonicWall 防火墙的技术，因此据我们估计，攻击者利用 RCE 的可能性仍然很低。