Mais de 178.000 firewalls SonicWall ainda vulneráveis a falhas

Início / Tecnologia da Informação / Mais de 178.000 firewalls SonicWall ainda vulneráveis a falhas

Mais de 178.000 firewalls SonicWall ainda vulneráveis a falhas

Pesquisadores de segurança encontraram quase 150.000 firewalls SonicWall cujas interfaces de gerenciamento são acessíveis pela Internet e são vulneráveis a uma falha crítica de quase dois anos que pode causar negação de serviço e execução potencialmente remota de código. Ainda mais firewalls são vulneráveis a outra instância da mesma falha em uma parte diferente do código que foi relatada no ano passado.

A análise foi realizada por pesquisadores da empresa de segurança Bishop Fox após SonicWall corrigir nove vulnerabilidades em seus dispositivos de firewall de próxima geração (NGFW) em outubro. Muitas dessas falhas eram estouros de buffer baseados em pilha em diferentes componentes da interface web de gerenciamento do SonicOS e poderiam levar a falhas no firewall – em outras palavras, condições de negação de serviço. Bishop Fox queria determinar a exposição de seus clientes examinando a Internet em busca de dispositivos afetados por esses problemas, mas decidiu incluir vulnerabilidades mais antigas que fossem semelhantes.

Uma dessas falhas mais antigas se destacou imediatamente: uma falha corrigida em março de 2022 que também é causada por um buffer overflow baseado em pilha na interface de gerenciamento do SonicOS e que foi classificada com 9,4 de 10 na escala de gravidade CVSS.

Leia também:

Falha pode resultar em execução remota de código

Ao contrário das falhas de outubro, CVE-2022-22274 não exigia autenticação e havia o risco de resultar na execução de código além do DoS. A empresa disse na época que não tinha conhecimento de nenhuma exploração à solta. No entanto, isso mudou um ano depois, quando pesquisadores de segurança do SSD Labs encontraram e relataram outro problema de buffer overflow não autenticado, rastreado como CVE-2023-0656 isso agora é apenas mais uma instância de CVE-2022-22274.

“O SSD Labs publicou um artigo técnico do bug com uma prova de conceito, observando dois caminhos de URI onde o bug poderia ser acionado”, disseram os pesquisadores do Bishop Fox em seu relatório. “Descobrimos que CVE-2022-22274 foi causado pelo mesmo padrão de código vulnerável em um local diferente, e a exploração funcionou contra três caminhos URI adicionais.”

Isso sugere que, ao investigar o CVE-2022-22274, os desenvolvedores do SonicWall apenas corrigiram o código vulnerável no componente relatado originalmente, mas não pesquisaram se o mesmo bug existia em outras partes da base de código do SonicOS.

Varreduras na Internet revelam dispositivos SonicWall vulneráveis

Os pesquisadores da Bishop Fox queriam fazer uma varredura na Internet e determinar quantos firewalls SonicWall com suas interfaces de gerenciamento expostas têm caminhos URI que ainda são vulneráveis a CVE-2022-22274 e CVE-2023-0656. No entanto, investigar esses problemas usando a exploração real faz com que os dispositivos travem e os pesquisadores queriam evitar isso.

Depois de analisar como os firewalls responderam às solicitações aos caminhos URI vulneráveis, os pesquisadores descobriram uma maneira segura de realizar o teste e diferenciar os dispositivos corrigidos dos não corrigidos ou dos dispositivos que não tinham os componentes vulneráveis no primeiro lugar. Eles escreveram um scanner em Python e, em seguida, executaram-no em uma lista de dispositivos identificados como firewalls SonicWall no conjunto de dados da BinaryEdge.

“Exportamos todo o conjunto de dados do BinaryEdge, extraímos URLs HTTPS, filtramos a lista para IPv4 e removemos entradas duplicadas”, disseram os pesquisadores. “Em seguida, escrevemos um script simples para testar a acessibilidade e verificar os cabeçalhos de resposta. Depois de filtrar nossos resultados dessa maneira, chegamos a um conjunto-alvo de 234.720 dispositivos.”

Depois de executar os testes sem falhas, os pesquisadores descobriram que 146.116, ou 62% dos dispositivos, eram vulneráveis ao CVE-2022-22274 e que 178.608 (76%) eram vulneráveis ao CVE-2023-0656.

“Neste momento, um invasor pode facilmente causar uma negação de serviço usando essa exploração, mas como a SonicWall observou em seus comunicados, existe um potencial para execução remota de código”, disseram os pesquisadores. “Embora seja possível criar uma exploração que possa executar comandos arbitrários, pesquisas adicionais são necessárias para superar vários desafios, incluindo PIE, ASLR e stack canaries.”

Recomenda-se fortemente que as organizações que executam firewalls SonicWall atualizem seu firmware para a versão mais recente disponível e restrinjam o acesso à interface de gerenciamento baseada na Web, especialmente pela Internet.

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.