Mais de 178 mil firewalls vulneráveis a DoS e possíveis ataques RCE

Os investigadores de segurança da Bishop Fox descobriram que mais de 178 mil firewalls de próxima geração da SonicWall, com a interface de gestão exposta online, são vulneráveis a ataques de negação de serviço (DoS) e possíveis ataques de execução remota de código (RCE).

Os dispositivos são afetados por duas falhas de segurança DoS – CVE-2022-22274 e CVE-2023-0656 –, sendo que a primeira pode possibilitar aos invasores obter a execução remota de código.

“Utilizando os dados de origem BinaryEdge, verificámos os firewalls da SonicWall com interfaces de gestão expostas à Internet e descobrimos que 76% (178.637 de 233.984) são vulneráveis a um ou a ambos os problemas”, explica Jon Williams, engenheiro de segurança sénior da Bishop Fox.

De acordo com a Bishop Fox, as duas vulnerabilidades são essencialmente a mesma, uma vez que são causadas pela reutilização do mesmo padrão de código vulnerável. No entanto, estas podem ser exploradas em diferentes caminhos HTTP URI.

“A nossa investigação inicial confirmou a afirmação do fornecedor de que nenhuma exploração estava disponível; no entanto, assim que identificámos o código vulnerável, descobrimos que era o mesmo problema anunciado um ano depois como CVE-2023-0656”, revela Williams. “Descobrimos que a CVE-2022-22274 foi causada pelo mesmo padrão de código vulnerável num local diferente, e a exploração funcionou contra três caminhos URI adicionais”.

Embora não consigam executar código num dispositivo visado, os cibercriminosos têm a capacidade de explorar vulnerabilidades para o forçar a entrar em modo de manutenção, exigindo a intervenção dos administradores para restaurar a funcionalidade padrão.

Mesmo que não seja determinado se a execução remota de código é possível, os invasores podem aproveitar-se destas falhas para desabilitar firewalls edge, bem como o acesso VPN que fornecem às redes corporativas, segundo os investigadores.

De acordo com os dados da Shadowserver, uma plataforma de monitorização de ameaças, existem mais de 500 mil firewalls da SonicWall que atualmente estão expostos online, com mais de 328 mil nos Estados Unidos.

A equipa de resposta a incidentes de segurança de produto (PSIRT) adiantou não ter conhecimento de que as duas vulnerabilidades foram exploradas. Ainda assim, pelo menos uma exploração de prova de conceito (PoC) está disponível online para a falha CVE-2022-22274.

“O SSD Labs publicou um artigo técnico do bug com uma prova de conceito, observando dois caminhos de URI onde o bug poderia ser acionado”, aponta Williams.

Recomenda-se que os administradores garantam que a interface de gestão dos seus dispositivos SonicWall NGFW não é exposta online e que atualizem para as versões de firmware mais recentes.