翻译:SonicWall下一代防火墙(NGFW)系列6和7设备受到两个未经身份验证的拒绝服务漏洞的影响,这两个漏洞被标记为CVE-2022-22274和CVE-2023-0656,可能导致远程代码执行。尽管公开发布了针对CVE-2023-0656漏洞的概念验证利用程序,但厂商并不知道有攻击者利用这些漏洞的情况。Bishop Fox的研究人员使用BinaryEdge的源数据找到了将SonicWall防火墙的管理界面暴露在互联网上的情况。专家发现,在面向互联网的防火墙中,76%(178,637个中的233,984个)存在一种或两种问题的漏洞。专家指出,这两个问题本质上是相同的,但由于可利用的漏洞代码模式的重复使用,在不同的HTTP URI路径上可以进行利用。研究人员还开发了一个测试脚本,可以确定设备是否存在漏洞,而不会导致其崩溃。这意味着大规模攻击的影响可能非常严重。Bishop Fox发布的公告中写道:“在其默认配置中,SonicOS在崩溃后重新启动,但在短时间内发生三次崩溃后,它将启动维护模式,并要求进行管理操作以恢复正常功能。”“最新可用的固件可防护这两个漏洞,因此请立即升级(并确保管理界面未暴露在互联网上)。
研究人员建议使用易受攻击的设备的管理员将Web管理界面从公共访问中移除,并升级固件到最新可用版本。“在目前阶段,攻击者可以利用这个漏洞轻松造成拒绝服务,但正如SonicWall在其警报中指出的那样,存在远程代码执行的潜力。虽然可能有可能设计一个可以执行任意命令的利用程序,但还需要进行额外的研究来克服几个挑战,包括PIE、ASLR和堆栈保护机制。”
报告总结道:“对于攻击者来说,也许更大的挑战是提前确定特定目标使用的固件和硬件版本,因为利用程序必须根据这些参数进行定制。由于目前没有已知的远程指纹识别SonicWall防火墙的技术,我们估计攻击者利用远程代码执行的可能性仍然很低。”
原文始发于微信公众号(黑猫安全):超过178,000台SonicWall下一代防火墙(NGFW)在线暴露给黑客
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论