Hơn 178.000 tường lửa SonicWall bị lộ qua internet có thể bị khai thác ít nhất một trong hai lỗ hổng bảo mật có khả năng bị khai thác để gây ra tình trạng từ chối dịch vụ (DoS) và thực thi mã từ xa (RCE).
"Hai vấn đề về cơ bản giống nhau nhưng có thể khai thác ở các đường dẫn HTTP URI khác nhau do sử dụng lại một mẫu mã dễ bị tổn thương", Jon Williams, một kỹ sư bảo mật cao cấp tại Bishop Fox, cho biết trong một phân tích kỹ thuật được chia sẻ với The Hacker VN.
Các lỗ hổng được đề cập được liệt kê dưới đây -
- CVE-2022-22274 (điểm CVSS: 9.4) - Lỗ hổng tràn bộ đệm dựa trên ngăn xếp trong SonicOS thông qua yêu cầu HTTP cho phép kẻ tấn công từ xa, chưa được xác thực gây ra DoS hoặc có khả năng dẫn đến thực thi mã trong tường lửa.
- CVE-2023-0656 (điểm CVSS: 7.5) - Lỗ hổng tràn bộ đệm dựa trên ngăn xếp trong SonicOS cho phép kẻ tấn công từ xa, chưa được xác thực gây ra DoS, có thể dẫn đến sự cố.
Mặc dù không có báo cáo nào về việc khai thác các lỗ hổng trong tự nhiên, nhưng một bằng chứng khái niệm (PoC) cho CVE-2023-0656 đã được nhóm Tiết lộ An toàn SSD công bố vào tháng 4 năm 2023.
Công ty an ninh mạng tiết lộ rằng các vấn đề có thể được vũ khí hóa bởi các tác nhân xấu để gây ra các sự cố lặp đi lặp lại và buộc thiết bị phải chuyển sang chế độ bảo trì, yêu cầu hành động hành chính để khôi phục chức năng bình thường.
"Có lẽ đáng kinh ngạc nhất là phát hiện ra rằng hơn 146.000 thiết bị có thể truy cập công khai dễ bị tổn thương bởi một lỗi đã được công bố gần hai năm trước", Williams nói.
Sự phát triển này diễn ra khi watchTowr Labs phát hiện ra nhiều lỗ hổng tràn bộ đệm dựa trên ngăn xếp trong giao diện web quản lý SonicOS và cổng SSL VPN có thể dẫn đến sự cố tường lửa.
Để bảo vệ chống lại các mối đe dọa có thể xảy ra, bạn nên cập nhật lên phiên bản mới nhất và đảm bảo rằng giao diện quản lý không tiếp xúc với internet.