Pembuat perkakasan keselamatan SonicWall telah membetulkan kelemahan kritikal dalam sistem pengendalian keselamatan SonicOS yang membenarkan serangan penafian perkhidmatan (DoS) dan boleh membawa kepada pelaksanaan kod jauh (RCE).
Cacat keselamatan ialah kelemahan limpahan penimbal berasaskan tindanan dengan skor keterukan CVSS 9.4 dan menjejaskan berbilang tembok api SonicWall.
Pepijat, yang dijejaki sebagai CVE-2022-22274, menjejaskan Faktor Borang Kemasukan Desktop Perniagaan Kecil dan Sederhana (SMB) siri TZ Tembok Api Generasi Seterusnya (NGFW), Tembok Api Maya Keselamatan Rangkaian (siri NSv) yang direka untuk melindungi bahagian atas awan- tembok api tahap dan platform perkhidmatan keselamatan rangkaian (NSsp).
Boleh dieksploitasi dari jauh tanpa pengesahan
Penyerang yang tidak disahkan boleh mengeksploitasi kecacatan dari jauh, melalui permintaan HTTP, dalam serangan kerumitan rendah yang tidak memerlukan interaksi pengguna untuk menyebabkan Penafian Perkhidmatan (DoS) atau berpotensi mengakibatkan pelaksanaan kod dalam tembok api. '.
Pasukan Tindak Balas Insiden Keselamatan Produk SonicWall (PSIRT) mengatakan tiada laporan tentang kelemahan bukti konsep (PoC) awam dan tidak menemui bukti eksploitasi dalam serangan itu.
Syarikat itu mengeluarkan patch untuk semua versi dan tembok api SonicOS yang terjejas dan menggesa pelanggan untuk mengemas kini semua produk yang terjejas.
'SonicWall sangat menggesa organisasi yang menggunakan tembok api SonicWall yang terjejas yang disenaraikan di bawah untuk mengikuti panduan yang diberikan,' kata syarikat itu dalam nasihat keselamatan yang dikeluarkan Jumaat.
| produk | Platform Terjejas | versi terjejas | versi tetap |
| SonicWall FireWalls | TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSA 2700, NSA 3700, NSA 4700, NSA 5700, NSA 6700, NSSP 10700, NSSP 11700, 270, NSSP 13700, NS NSV 870 | 7.0.1-5050 dan lebih awal | 7.0.1-5051 dan lebih tinggi |
| SonicWall NSsp Firewall | NSsp 15700 | 7.0.1-R579 dan lebih awal | Pertengahan April (Patch Build 7.0.1-5030-HF-R844) |
| SonicWall NSv Firewall | NSv 10, NSv 25, NSv 50, NSv 100, NSv 200, NSV, 300, NSv 400, NSv 800, NSv 1600 | 6.5.4.4-44v-21-1452 dan lebih awal | 6.5.4.4-44v-21-1519 dan lebih tinggi |
Tiada tampung untuk tembok api NSsp 15700
Satu-satunya tembok api yang terjejas masih menunggu tampung terhadap CVE-2022-22274 ialah tembok api berkelajuan tinggi kelas perusahaan NSsp 15700.
SonicWall menganggarkan bahawa kemas kini keselamatan untuk menyekat kemungkinan serangan yang menyasarkan tembok api NSsp 15700 akan dikeluarkan dalam masa lebih kurang dua minggu.
'Untuk NSsp 15700, sila teruskan dengan mitigasi sementara untuk mengelakkan eksploitasi atau hubungi pasukan sokongan SonicWall yang boleh memberikan anda perisian tegar hotfix (7.0.1-5030-HF-R844),' jelas syarikat itu.
'SonicWall menjangkakan keluaran perisian tegar rasmi dengan tampung yang diperlukan untuk NSsp15700 akan tersedia pada pertengahan April 2022.'
Penyelesaian sementara tersedia
SonicWall juga menyediakan penyelesaian sementara untuk mengalih keluar vektor eksploitasi pada sistem yang tidak boleh ditampal serta-merta.
Seperti yang dijelaskan oleh vendor keselamatan, pentadbir harus membenarkan akses kepada antara muka pengurusan SonicOS hanya kepada sumber yang dipercayai.
'Sehingga [..] Jika tampung boleh digunakan, SonicWall PSIRT amat mengesyorkan agar pentadbir mengehadkan akses pengurusan SonicOS kepada sumber yang dipercayai (dan/atau melumpuhkan akses pengurusan daripada sumber Internet yang tidak dipercayai) dengan mengubah suai peraturan akses pengurusan SonicOS sedia ada (SSH / HTTPS / Pengurusan HTTP), 'tambah syarikat itu.
SonicWall menambah bahawa peraturan akses yang dikemas kini akan memastikan peranti yang terjejas 'hanya membenarkan akses pengurusan daripada alamat IP daripada sumber yang dipercayai.'
Tapak web sokongan SonicWall menyediakan pelanggan dengan lebih banyak maklumat tentang cara menyekat akses pentadbir dan nasihat tentang masa untuk membenarkan akses kepada antara muka pengurusan web tembok api.
Apa pendapat kamu?
