Pesquisadores de segurança descobriram que mais de 178 mil firewalls de próxima geração (NGFW) da SonicWall estão com a interface de gerenciamento exposta online e vulneráveis a ataques de negação de serviço (DoS) e possíveis ataques de execução remota de código (RCE). Os dispositivos são afetados por duas falhas de segurança DoS rastreadas como CVE-2022-22274 e CVE-2023-0656, a primeira também permitindo que invasores obtenham execução remota de código.

Embora as duas vulnerabilidades sejam essencialmente as mesmas causadas pela reutilização do mesmo padrão de código vulnerável, elas podem ser exploradas em diferentes caminhos HTTP URI, de acordo com a Bishop Fox, que descobriu essa superfície de ataque massiva. “Nossa pesquisa inicial confirmou a afirmação do fornecedor de que nenhuma exploração estava ocorrendo. No entanto, assim que identificamos o código vulnerável, descobrimos que era o mesmo problema anunciado um ano antes como CVE-2023-0656”, disse Jon Williams, engenheiro de segurança sênior da Bishop Fox.

Segundo ele, mesmo que os invasores não consigam executar código em um dispositivo visado, eles podem explorar vulnerabilidades para forçá-lo a entrar em modo de manutenção, exigindo a intervenção dos administradores para restaurar a funcionalidade padrão. Assim, mesmo que não seja determinado se a execução remota de código é possível, os cibercriminosos ainda podem aproveitar essas vulnerabilidades para desabilitar firewalls de borda e o acesso VPN que eles fornecem às redes corporativas.

Mais de 500 mil firewalls SonicWall estão atualmente expostos online, com mais de 328 mil nos Estados Unidos, de acordo com dados da plataforma de monitoramento de ameaças Shadowserver. No Brasil, de acordo com a empresa, são cerca de 10 mil.

Veja isso
Dispositivos SonicWall são infectados por malware resistente
SonicWall alerta para vulnerabilidade crítica de SQLi

Embora a equipe de resposta a incidentes de segurança do produto SonicWall (PSIRT) afirme não ter conhecimento de que essas vulnerabilidades foram exploradas, pelo menos uma exploração de prova de conceito (PoC) está disponível online para o CVE-2022-22274. “O SSD Labs publicou um artigo técnico do bug com uma prova de conceito, observando dois caminhos de URI onde o bug poderia ser acionado”, disse Williams.

Os administradores são aconselhados a garantir que a interface de gerenciamento de seus dispositivos SonicWall NGFW não seja exposta online e atualizar para as versões de firmware mais recentes o mais rápido possível.

Para ter acesso ao relatório da Bishop Fox sobre as duas falhas de segurança, em inglês, clique aqui.

Fonte: https://www.cisoadvisor.com.br/