Sonicwall: Angreifer können über 178.000 Firewalls zum Absturz bringen
Weltweit sind wohl derzeit mehr als 178.000 Firewalls von Sonicwall anfällig für mindestens eine von zwei Schwachstellen, für die der Hersteller längst Sicherheitsupdates bereitgestellt hat. Nicht authentifizierten Angreifern sei es darüber möglich, Denial-of-Service- (DoS) und potenziell auch Remote-Code-Execution-Angriffe (RCE) auszuführen, erklärt Jon Williams, Senior Security Engineer bei Bishop Fox, in einem Blogbeitrag(öffnet im neuen Fenster) .
Betroffen seien Sonicwalls Next-Generation-Firewall-Geräte (NGFW) der Serien 6 und 7. Bekannt sind die Schwachstellen schon seit März 2022 ( CVE-2022-22274(öffnet im neuen Fenster) ) respektive März 2023 ( CVE-2023-0656(öffnet im neuen Fenster) ). In beiden Fällen stellte der Hersteller im Anschluss Patches bereit, die jedoch offenkundig längst nicht auf allen Systemen installiert wurden.
Die Sicherheitslücken sind wohl grundsätzlich gleich, da beide laut Williams auf dem gleichen anfälligen Codemuster basieren. Ausnutzbar seien sie jedoch über unterschiedliche HTTP-URI-Pfade. Ein von SSD Labs für DoS-Angriffe via CVE-2023-0656 veröffentlichter Proof-of-Concept-Exploit steht schon seit April 2023(öffnet im neuen Fenster) bereit. Williams' Bericht zufolge lässt sich dieser aber wohl ebenso auf CVE-2022-22274 adaptieren.
Firewalls lassen sich zum Absturz bringen
Einem von Bishop Fox durchgeführten Scan zufolge scheinen 178.637 von 233.984 Sonicwall-Firewalls (76 Prozent) mit online erreichbaren Verwaltungsschnittstellen noch immer für mindestens eine der beiden Schwachstellen anfällig zu sein. Administratoren wird dringend empfohlen, ihre Sonicwall-Systeme auf Anfälligkeit zu prüfen und gegebenenfalls Maßnahmen einzuleiten.
Die Auswirkungen eines Angriffs seien potenziell schwerwiegend. "In der Standardkonfiguration startet SonicOS nach einem Absturz neu, aber nach drei Abstürzen innerhalb kurzer Zeit wird das System in den Wartungsmodus versetzt und erfordert administrative Maßnahmen, um die normale Funktionalität wiederherzustellen" , so Williams.
Eine Anfälligkeit ist überprüfbar
Ein Skript, mit dem sich eine Ausnutzbarkeit der Schwachstellen ohne Systemabsturz überprüfen lässt, hat Bishop Fox via Github bereitgestellt(öffnet im neuen Fenster) . Wird eine Anfälligkeit erkannt, so rät Williams dazu, die Webverwaltungsschnittstelle für Zugriffe aus dem Internet zu sperren und die Firmware auf die neueste verfügbare Version zu aktualisieren.
DoS-Angriffe auf anfällige Firewalls seien zwar aufgrund des verfügbaren Exploits einfach ausführbar, die Wahrscheinlichkeit, dass Angreifer auch RCE-Attacken ausführten, sei jedoch gering. Damit dies gelinge, seien spezielle Kenntnisse über die Firmware- und Hardware-Versionen der jeweiligen Zielsysteme erforderlich - Informationen, die sich aus der Ferne wohl schwer ermitteln lassen.