Pesquisadores de segurança encontraram mais de 178.000 firewalls de próxima geração SonicWall (NGFW) com a interface de gerenciamento exposta online que estão vulneráveis a ataques de negação de serviço (DoS) e possíveis ataques de execução remota de código (RCE).
Esses aparelhos são afetados por duas falhas de segurança DoS rastreadas como
CVE-2022-22274
e
CVE-2023-0656
, sendo que a primeira também permite que hackers ganhem execução remota de código.
"Usando dados de fonte do BinaryEdge, escaneamos firewalls SonicWall com interfaces de gerenciamento expostas à internet e descobrimos que 76% (178.637 de 233.984) são vulneráveis a um ou ambos os problemas", disse Jon Williams, um engenheiro sênior de segurança na Bishop Fox.
Embora as duas vulnerabilidades sejam essencialmente as mesmas, pois são causadas pela reutilização do mesmo padrão de código vulnerável, elas são exploráveis em diferentes caminhos URI HTTP, de acordo com Bishop Fox, que descobriu essa grande superfície de ataque.
"Nossa pesquisa inicial confirmou a afirmação do fornecedor de que não havia exploit disponível; entretanto, uma vez que identificamos o código vulnerável, descobrimos que era o mesmo problema anunciado um ano depois como
CVE-2023-0656
", disse Williams.
"Descobrimos que o
CVE-2022-22274
foi causado pelo mesmo padrão de código vulnerável em um lugar diferente, e a exploração funcionou contra três caminhos URI adicionais".
Mesmo se os atacantes não conseguirem executar códigos em um aparelho alvo, eles podem explorar vulnerabilidades para forçá-lo ao modo de manutenção, necessitando de intervenção dos administradores para restaurar a funcionalidade padrão.
Assim, mesmo que não seja determinado se a execução remota de código é possível, atores mal-intencionados ainda poderiam aproveitar essas vulnerabilidades para desativar firewalls de borda e o acesso VPN que eles fornecem para redes corporativas.
Atualmente, mais de 500.000 firewalls SonicWall estão expostos online, com mais de 328.000 nos Estados Unidos, de acordo com dados da plataforma de monitoramento de ameaças Shadowserver.
Embora a Equipe de Resposta a Incidentes de Segurança de Produtos SonicWall (PSIRT) afirme não ter conhecimento de que essas vulnerabilidades tenham sido exploradas, pelo menos uma prova de conceito (PoC) de exploit está disponível online para o
CVE-2022-22274
.
"O SSD Labs publicou uma descrição técnica do bug com uma prova de conceito, notando dois caminhos URI onde o bug poderia ser acionado", disse Williams.
Os administradores são aconselhados a garantir que a interface de gerenciamento dos aparelhos SonicWall NGFW não esteja exposta online e atualizar para as versões mais recentes de firmware o mais rápido possível.
Os aparelhos SonicWall já foram alvo de ataques de ciberespionagem e por várias gangues de ransomware, incluindo HelloKitty e FiveHands.
Por exemplo, em março passado, o SonicWall PSIRT e a Mandiant revelaram que supostos hackers chineses instalaram malware personalizado em aparelhos SonicWall Secure Mobile Access (SMA) não corrigidos para persistência de longo prazo em campanhas de ciberespionagem.
Os clientes também foram alertados em julho para corrigir urgentemente várias falhas críticas de autenticação em bypass nos produtos de gerenciamento de firewall GMS e relatórios de rede Analytic da empresa.
A lista de clientes do SonicWall inclui mais de 500.000 empresas de mais de 215 países e territórios, incluindo agências governamentais e algumas das maiores empresas mundiais.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...