SonicWall防火墙面临重大安全风险

关键要点

超过178000台暴露在互联网的SonicWall防火墙面临拒绝服务(DoS)和远程代码执行(RCE)攻击的风险。研究分析显示，76的设备至少受至少一种漏洞影响，62的设备同时受两种漏洞影响。应立即采取措施，建议用户移除设备的网页管理接口，并升级防火墙固件至最新版本。

最近的研究表明，超过178000台暴露在互联网的SonicWall防火墙存在拒绝服务(DoS)和远程代码执行(RCE)的攻击风险。根据Bishop Fox的分析，这些设备对两种漏洞容易受到攻击，如果被利用，可能会导致“严重”的后果。

SonicWall曾警告客户其第6和第7代下一代防火墙(NGFW)设备存在两个基于堆栈的缓冲区溢出漏洞。第一种漏洞被标识为CVE202222274，在2022年3月公开，而第二种漏洞CVE20230656则在2023年3月披露。

Bishop Fox最近使用BinaryEdge数据源，对暴露在互联网的SonicWall设备进行了扫描。研究人员发现，76的设备共178637台，来自233984台至少对一种漏洞易受攻击，而62共146087台同时对两种漏洞易受攻击。

在1月15日的研究贴文中，Bishop Fox的高级安全工程师Jon Williams表示，“令人惊讶的是，超过146000台运行SonicWall的SonicOS操作系统的公开可接入设备，居然对几乎两年前发布的漏洞存在风险。”

“广泛的[DoS]攻击可能会造成严重影响。在默认配置下，SonicOS在崩溃后会重启，但如果在短时间内发生三次崩溃，则会进入维护模式，需要管理操作才能恢复正常功能，”Williams在报告中写道。

轻蜂加速器官方

Bishop Fox的研究得出结论，CVE202222274其CVSS V3评分为94和CVE20230656CVSS评分为75本质上是相同的漏洞，只是可在不同的HTTP URI统一资源标识符路径上被利用。

“在这个时候，攻击者可以轻易利用该漏洞造成拒绝服务，但正如SonicWall在其警告中提到的，存在远程代码执行的潜力，”Williams写道。

他说，威胁行为者需要克服几个挑战才能通过利用漏洞执行任意代码，包括提前确定特定目标使用的固件和硬件版本，因为所需的漏洞利用代码需要根据这些参数进行定制。

“由于目前没有已知的远程指纹识别SonicWall防火墙的技术，攻击者利用RCE的可能性在我们的评估中仍然较低，”Williams表示。

“无论如何，采取适当的措施来确保您设备的安全将确保它们不会成为潜在的痛苦DoS攻击的受害者。”

Bishop Fox建议SonicWall NGFW用户立即将设备的网页管理接口从公共访问中移除，并将防火墙的固件升级至最新版本。研究人员已制作一个测试脚本，可在GitHub上获取，可以确定设备是否易受这些缺陷影响，而不会导致设备崩溃。