Más de 178.000 firewalls de SonicWall expuestos a través de Internet son explotables para al menos uno de los dos fallos de seguridad que podrían explotarse para causar una condición de denegación de servicio (DoS) y ejecución remota de código (RCE).
«Los dos problemas son fundamentalmente iguales pero explotables en diferentes rutas HTTP URI debido a la reutilización de un patrón de código vulnerable», dijo Jon Williams, ingeniero de seguridad senior de Bishop Fox. dicho en un análisis técnico compartido con The Hacker News.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2022-22274 (Puntuación CVSS: 9,4): una vulnerabilidad de desbordamiento del búfer basada en pila en SonicOS a través de una solicitud HTTP permite que un atacante remoto y no autenticado cause DoS o potencialmente resulte en la ejecución de código en el firewall.
- CVE-2023-0656 (Puntuación CVSS: 7,5): una vulnerabilidad de desbordamiento del búfer basada en pila en SonicOS permite que un atacante remoto y no autenticado provoque DoS, lo que podría provocar un bloqueo.
Si bien no hay informes de explotación de las fallas en la naturaleza, se realizó una prueba de concepto (PoC) para CVE-2023-0656. publicado por el equipo de SSD Secure Disclosure en abril de 2023.
La empresa de ciberseguridad reveló que los malos actores podrían utilizar los problemas como arma para provocar fallas repetidas y obligar al dispositivo a entrar en modo de mantenimiento, lo que requiere una acción administrativa para restaurar la funcionalidad normal.
«Quizás lo más sorprendente fue el descubrimiento de que más de 146.000 dispositivos de acceso público son vulnerables a un error que se publicó hace casi dos años», dijo Williams.
El desarrollo se produce como watchTowr Labs. descubierto múltiple fallas de desbordamiento del buffer basado en pila en la interfaz web de administración de SonicOS y el portal VPN SSL que podría provocar una falla del firewall.
Para protegerse contra posibles amenazas, se recomienda actualizar a la última versión y asegurarse de que la interfaz de administración no esté expuesta a Internet.