Pesquisadores de segurança descobriram que mais de 178.000 firewalls de próxima geração da SonicWall (NGFW), com a interface de gerenciamento exposta na internet, estão vulneráveis a ataques de negação de serviço (DoS) e potenciais execuções de código remoto (RCE).
Esses dispositivos são afetados por duas falhas de segurança DoS identificadas como CVE-2022-22274 e CVE-2023-0656, sendo que a primeira também permite aos atacantes executar código remotamente.
“Utilizando dados da BinaryEdge, escaneamos firewalls da SonicWall com interfaces de gerenciamento expostas à internet e descobrimos que 76% (178.637 de 233.984) estão vulneráveis a um ou ambos os problemas”, disse Jon Williams, Engenheiro Sênior de Segurança na Bishop Fox.
Embora as duas vulnerabilidades sejam essencialmente as mesmas, pois são causadas pelo reuso do mesmo padrão de código vulnerável, elas são exploráveis em diferentes caminhos URI HTTP, de acordo com a Bishop Fox, que descobriu essa ampla superfície de ataque.
“Nossa pesquisa inicial confirmou a afirmação do fornecedor de que não havia exploit disponível; no entanto, uma vez que identificamos o código vulnerável, descobrimos que era o mesmo problema anunciado um ano depois como CVE-2023-0656”, disse Williams.
“Descobrimos que o CVE-2022-22274 foi causado pelo mesmo padrão de código vulnerável em um local diferente, e o exploit funcionou contra três caminhos URI adicionais.”
Mesmo que os atacantes não consigam executar código em um dispositivo alvo, eles podem explorar vulnerabilidades para forçá-lo ao modo de manutenção, exigindo intervenção dos administradores para restaurar a funcionalidade padrão.
Assim, mesmo que não seja determinado se a execução de código remoto é possível, os atores mal-intencionados ainda podem aproveitar essas vulnerabilidades para desativar firewalls de borda e o acesso VPN que eles fornecem às redes corporativas.
Atualmente, mais de 500.000 firewalls da SonicWall estão expostos online, com mais de 328.000 nos Estados Unidos, de acordo com dados da plataforma de monitoramento de ameaças Shadowserver.
Enquanto a equipe de resposta a incidentes de segurança de produtos da SonicWall (PSIRT) diz não ter conhecimento de que essas vulnerabilidades tenham sido exploradas no mundo real, pelo menos um exploit de prova de conceito (PoC) está disponível online para o CVE-2022-22274.
“O SSD Labs publicou uma descrição técnica do bug com um conceito de prova, notando dois caminhos URI onde o bug poderia ser acionado”, disse Williams.
Os administradores são aconselhados a garantir que a interface de gerenciamento de seus dispositivos NGFW da SonicWall não esteja exposta online e a atualizar para as versões mais recentes do firmware o mais rápido possível.
Os dispositivos da SonicWall já foram alvo de ataques de ciberespionagem e por vários grupos de ransomware, incluindo HelloKitty e FiveHands.
Por exemplo, em março do ano passado, a PSIRT da SonicWall e a Mandiant revelaram que hackers chineses suspeitos instalaram malware personalizado em dispositivos SMA (Secure Mobile Access) da SonicWall não atualizados para persistência de longo prazo em campanhas de ciberespionagem.
Os clientes também foram alertados em julho para corrigir urgentemente múltiplas falhas críticas de bypass de autenticação nos produtos de gerenciamento de firewall GMS e de relatórios de rede Analytics da empresa.
A lista de clientes da SonicWall inclui mais de 500.000 empresas de mais de 215 países e territórios, incluindo agências governamentais e algumas das maiores empresas do mundo.
