Plus de 178 000 pare-feu SonicWall exposés sur Internet sont exploitables pour au moins une des deux failles de sécurité qui pourraient être potentiellement exploitées pour provoquer une condition de déni de service (DoS) et une exécution de code à distance (RCE).
« Les deux problèmes sont fondamentalement les mêmes mais exploitables sur différents chemins d’URI HTTP en raison de la réutilisation d’un modèle de code vulnérable », a déclaré Jon Williams, ingénieur principal en sécurité chez Bishop Fox. dit dans une analyse technique partagée avec The Hacker News.
Les vulnérabilités en question sont répertoriées ci-dessous –
- CVE-2022-22274 (score CVSS : 9,4) – Une vulnérabilité de dépassement de tampon basée sur la pile dans SonicOS via une requête HTTP permet à un attaquant distant non authentifié de provoquer un DoS ou potentiellement d’entraîner l’exécution de code dans le pare-feu.
- CVE-2023-0656 (Score CVSS : 7,5) – Une vulnérabilité de dépassement de tampon basée sur la pile dans SonicOS permet à un attaquant distant non authentifié de provoquer un DoS, ce qui pourrait entraîner un crash.
Bien qu’il n’y ait aucun rapport faisant état d’une exploitation des failles dans la nature, une preuve de concept (PoC) pour CVE-2023-0656 a été publié par l’équipe SSD Secure Disclosure en avril 2023.
La société de cybersécurité a révélé que ces problèmes pourraient être exploités par des acteurs malveillants pour déclencher des pannes répétées et forcer l’appliance à passer en mode maintenance, nécessitant une action administrative pour restaurer une fonctionnalité normale.
« Le plus étonnant a peut-être été la découverte que plus de 146 000 appareils accessibles au public sont vulnérables à un bug publié il y a près de deux ans », a déclaré Williams.
Le développement intervient alors que watchTowr Labs découvert plusieurs failles de débordement de tampon basées sur la pile dans l’interface Web de gestion SonicOS et le portail VPN SSL, ce qui pourrait entraîner un crash du pare-feu.
Pour se prémunir contre d’éventuelles menaces, il est recommandé de mettre à jour vers la dernière version et de s’assurer que l’interface de gestion n’est pas exposée à Internet.