SonicWall防火墙面临重大安全风险

关键要点

最近的研究表明，超过178,000台暴露在互联网的防火墙存在拒绝服务(DoS)和远程代码执行(RCE)的攻击风险。根据BishopFox的分析，这些设备对两种漏洞容易受到攻击，如果被利用，可能会导致“严重”的后果。

SonicWall曾警告客户其第6和第7代下一代防火墙(NGFW)设备存在两个基于堆栈的缓冲区溢出漏洞。第一种漏洞被标识为，在2022年3月公开，而第二种漏洞则在2023年3月披露。

BishopFox最近使用BinaryEdge数据源，对暴露在互联网的SonicWall设备进行了扫描。研究人员发现，76%的设备（共178,637台，来自233,984台）至少对一种漏洞易受攻击，而62%（共146,087台）同时对两种漏洞易受攻击。

在中，Bishop Fox的高级安全工程师JonWilliams表示，“令人惊讶的是，超过146,000台运行SonicWall的SonicOS操作系统的公开可接入设备，居然对几乎两年前发布的漏洞存在风险。”

“广泛的[DoS]攻击可能会造成严重影响。在默认配置下，SonicOS在崩溃后会重启，但如果在短时间内发生三次崩溃，则会进入维护模式，需要管理操作才能恢复正常功能，”Williams在报告中写道。

Bishop Fox的研究得出结论，CVE-2022-22274（其CVSSV3评分为9.4）和CVE-2023-0656（CVSS评分为7.5）本质上是相同的漏洞，只是可在不同的HTTP URI（统一资源标识符）路径上被利用。

“在这个时候，攻击者可以轻易利用该漏洞造成拒绝服务，但正如SonicWall在其警告中提到的，存在远程代码执行的潜力，”Williams写道。

他说，威胁行为者需要克服几个挑战才能通过利用漏洞执行任意代码，包括提前确定特定目标使用的固件和硬件版本，因为所需的漏洞利用代码需要根据这些参数进行定制。

“由于目前没有已知的远程指纹识别SonicWall防火墙的技术，攻击者利用RCE的可能性在我们的评估中仍然较低，”Williams表示。

“无论如何，采取适当的措施来确保您设备的安全将确保它们不会成为潜在的痛苦DoS攻击的受害者。”

Bishop Fox建议SonicWallNGFW用户立即将设备的网页管理接口从公共访问中移除，并将防火墙的固件升级至最新版本。研究人员已制作一个测试脚本，，可以确定设备是否易受这些缺陷影响，而不会导致设备崩溃。