18万暴露在互联网上的 SonicWall 防火墙容易受到 DoS 攻击，可能是 RCE

据网络安全公司 Bishop Fox 报道，大多数暴露在互联网上的 SonicWall 下一代防火墙系列 6 和 7 设备尚未针对两个潜在的严重漏洞进行修补。

SonicWall 下一代防火墙 (NGFW) 系列 6 和 7 设备受到两个未经身份验证的拒绝服务漏洞的影响，可能会导致远程代码执行。SonicWall 相隔一年发布了针对CVE-2022-22274和CVE-2023-0656的公告，并报告称未观察到在野外被利用的情况；然而，后者的概念验证漏洞已公开发布。 我们的研究发现，这两个问题本质上是相同的，但由于重用了易受攻击的代码模式，因此可以在不同的 HTTP URI 路径上利用。对潜在错误的深入分析使我们能够生成一个测试脚本，可以确定设备是否容易受到攻击，而不会导致设备崩溃。 在这里下载。 使用 BinaryEdge 源数据，我们扫描了管理界面暴露于互联网的 SonicWall 防火墙，发现 76%（233,984 中的 178,637 个）容易受到一个或两个问题的影响。 大范围攻击的影响可能会很严重。在默认配置中，SonicOS 在崩溃后重新启动，但在短时间内发生 3 次崩溃后，它会启动到维护模式，并需要管理操作才能恢复正常功能。最新的可用固件可以防止这两个漏洞，因此请务必立即升级（并确保管理界面不会暴露在互联网上）。

这些问题分别被跟踪为CVE-2022-22274和CVE-2023-0656，并分别被评为严重和高严重性，无需身份验证即可远程利用。攻击者可以利用它们造成拒绝服务 (DoS) 情况，但也不排除远程代码执行 (RCE)。SonicWall 于 2022 年 3 月和 2023 年 3 月为其发布了补丁。

Bishop Fox 表示，这两个缺陷本质上是相同的，“但由于重用了易受攻击的代码模式，因此可以在不同的 HTTP URI 路径上利用”。

通过扫描互联网上是否存在易受攻击的设备，该网络安全公司发现超过178,000 个具有可公开访问的 Web 管理界面的 SonicWall 防火墙至少容易受到其中一个安全缺陷的影响。

“大范围攻击的影响可能会很严重。在默认配置下，SonicOS 在崩溃后会重新启动，但在短时间内发生 3 次崩溃后，它会启动到维护模式，并需要管理操作才能恢复正常功能，”Bishop Fox 指出。

SonicWall 在其公告中指出，它不知道有人主动利用这些漏洞，也没有收到针对这些漏洞发布的概念验证 (PoC) 漏洞利用代码的报告。

然而，自 2023 年 4 月起，针对 CVE-2023-0656 的 PoC 代码就已公开，当时 SSD 实验室发布了该代码以及有关该错误的技术细节。

通过分析这些漏洞的根本原因，Bishop Fox 确定了它们之间的联系，并能够为这两个漏洞创建新的 PoC 漏洞。该公司表示，CVE-2023-0656 的漏洞与 SSD 实验室大约一年前发布的漏洞类似。

“据我们所知，之前尚未发表任何研究来建立 CVE-2022-22274 和 CVE-2023-0656 之间的联系。显然，这两个漏洞具有相同的潜在错误，但最初的补丁仅修复了一个地方的易受攻击的代码，而其他实例则在一年后被发现并报告，”BishopFox 说。

开发 PoC 后，该网络安全公司开始寻找可通过互联网访问的易受攻击的设备，并发现超过 146,000 个防火墙仍未针对 CVE-2022-22274 打补丁，还有 178,000 个防火墙未针对 CVE-2023-0656 打补丁。

事实上，几乎所有 146,000 个易受攻击的 SonicWall 防火墙都缺少针对这两个漏洞的补丁。由于CVE-2022-22274 还可用于远程代码执行 (RCE)，因此这些设备面临的风险不仅仅是 DoS 风险。

建议 SonicWall 客户尽快应用可用补丁。已知 SonicWall 防火墙中的漏洞已被恶意攻击利用。

原文始发于微信公众号（河南等级保护测评）：18万暴露在互联网上的 SonicWall 防火墙容易受到 DoS 攻击，可能是 RCE