De SonicWall Next-Generation Firewalls (NGFW) met een managementconsole die online beschikbaar is, is kwestbaar voor denial-of-service (DoS) zelfs remote code execution (RCE).
Dankzij twee veiligheidslekken, CVE-2022-22274 en CVE-2023-0656, konden veiligheidsonderzoekers kwetsbaarheden blootleggen in meer dan 178.000 SonicWall firewalls die vandaag actief in gebruik zijn.
Jon Williams, onderzoeker bij Bishop Fox dat de kwetsbaarheid geeft extra uitleg op hun securityblog. “Met behulp van BinaryEdge brongegevens hebben we SonicWall firewalls gescand met beheerinterfaces die zijn blootgesteld aan het internet en ontdekten we dat 76 procent (178.637 van 233.984) kwetsbaar is voor een of beide problemen.”
Beide CVE-gevaren zijn in principe dezelfde volgens Bishop Fox, omdat ze hetzelfde kwetsbare codepatroon gebruiken. “Je kan deze uitbuiten via verschillende HTTP URI-wegen.”
“Ons eerste onderzoek bevestigde de bewering van de leverancier dat er geen exploit beschikbaar was. Toen we eenmaal de kwetsbare code hadden geïdentificeerd, ontdekten we dat dit hetzelfde probleem was dat een jaar later werd aangekondigd als CVE-2023-0656,” aldus Williams.
“We ontdekten dat CVE-2022-22274 werd veroorzaakt door hetzelfde kwetsbare codepatroon op een andere plaats, en de exploit werkte tegen drie extra URI-paden.”
Bleeping Computer meldt dat aanvallers geen RCE kunnen uitvoeren via deze weg, maar toestellen kunnen wel in onderhoudsmodus worden gezet. Wanneer dat gebeurt, is er een interventie nodig van de administrator om standaardfunctionaliteit te herstellen.
Malafide hackers kunnen van op afstand firewalls uitschakelen en VPN-toegang elimineren door die functie te activeren.
Tienduizenden toestellen in Europa kwetsbaar
In totaal zijn er meer dan 500.000 SonicWall firewalls online beschikbaar wereldwijd, waarvan 328.000 in de VS volgens Shadowserver en 100.000 in Europa. Hieronder vind je de specifieke aantallen in de Benelux en de buurlanden.
| Land | Aantal firewalls |
| België | 2.460 |
| Nederland | 5.003 |
| Luxemburg | 226 |
| Frankrijk | 9.776 |
| Duitsland | 16.353 |
| Verenigd Koninkrijk | 16.367 |
| Spanje | 14.178 |
| Italië | 8.689 |
SonicWall heeft geen weet van uitbuiting, maar er is wel een proof-of-concept (PoC) beschikbaar onder CVE-2022-22274.
Administrators worden geadviseerd om hun management-interface niet online beschikbaar te stellen. Iedereen moet ook zo snel mogelijk de nieuwste firmware downloaden en installeren.