Les chercheurs en sécurité ont découvert que plus de 178 000 pare-feu de nouvelle génération (NGFW) SonicWall avec l’interface de gestion exposée en ligne sont vulnérables aux attaques par déni de service (DoS) et aux attaques potentielles d’exécution de code à distance (RCE).
Ces appliances sont affectées par deux failles de sécurité DoS répertoriées comme CVE-2022-22274 et CVE-2023-0656, la première permettant également aux attaquants d’obtenir l’exécution de code à distance.
« À l’aide des données source BinaryEdge, nous avons analysé les pare-feu SonicWall avec des interfaces de gestion exposées à Internet et avons constaté que 76% (178 637 sur 233 984) sont vulnérables à l’un ou aux deux problèmes », a déclaré Jon Williams, ingénieur principal en sécurité chez Bishop Fox.
Bien que les deux vulnérabilités soient essentiellement les mêmes car elles sont causées par la réutilisation du même modèle de code vulnérable, elles sont exploitables sur différents chemins d’URI HTTP, selon Bishop Fox, qui a découvert cette surface d’attaque massive.
« Nos recherches initiales ont confirmé l’affirmation du fournisseur selon laquelle aucun exploit n’était disponible; cependant, une fois que nous avons identifié le code vulnérable, nous avons découvert qu’il s’agissait du même problème annoncé un an plus tard sous le nom de CVE-2023-0656 », a déclaré Williams.
« Nous avons constaté que CVE-2022-22274 était causé par le même modèle de code vulnérable à un endroit différent, et l’exploit fonctionnait contre trois chemins d’URI supplémentaires. »
Même si les attaquants ne peuvent pas exécuter de code sur une appliance ciblée, ils peuvent exploiter les vulnérabilités pour la forcer à passer en mode maintenance, nécessitant l’intervention des administrateurs pour restaurer les fonctionnalités standard.
Ainsi, même s’il n’est pas déterminé si l’exécution de code à distance est possible, les acteurs malveillants pourraient toujours exploiter ces vulnérabilités pour désactiver les pare-feu périphériques et l’accès VPN qu’ils fournissent aux réseaux d’entreprise.
Plus de 500 000 pare-feu SonicWall sont actuellement exposés en ligne, dont plus de 328 000 aux États-Unis, selon les données de la plateforme de surveillance des menaces Shadowserver.
Bien que l’Équipe de réponse aux incidents de sécurité des produits (PSIRT) de SonicWall affirme qu’elle ne sait pas que ces vulnérabilités ont été exploitées dans la nature, au moins un exploit de preuve de concept (PoC) est disponible en ligne pour CVE-2022-22274.
« SSD Labs avait publié une description technique du bogue avec une preuve de concept, notant deux chemins d’URI où le bogue pourrait être déclenché », a déclaré Williams.
Il est conseillé aux administrateurs de s’assurer que l’interface de gestion de leurs appliances SonicWall NGFW n’est pas exposée en ligne et de mettre à niveau vers les dernières versions du micrologiciel dès que possible.
Les appliances SonicWall ont déjà été la cible d’attaques de cyberespionnage et de plusieurs gangs de ransomwares, notamment HelloKitty et FiveHands).
Par exemple, en mars dernier, SonicWall PSIRT et Mandiant ont révélé que des pirates chinois présumés avaient installé des logiciels malveillants personnalisés sur des appliances SonicWall Secure Mobile Access (SMA) non corrigées pour une persistance à long terme dans les campagnes de cyberespionnage.
Les clients ont également été avertis en juillet de corriger de toute urgence plusieurs failles critiques de contournement d’authentification dans les produits de reporting de réseau de gestion et d’analyse du pare-feu GMS de l’entreprise.
La liste des clients de SonicWall comprend plus de 500 000 entreprises de plus de 215 pays et territoires, y compris des agences gouvernementales et certaines des plus grandes entreprises du monde entier.