SonicWall, producent urządzeń zabezpieczających sieć, wysłał w czwartek 21 lipca pilne poprawki dla krytycznej luki w swoim oprogramowaniu Global Management System [GMS]. Jednocześnie ostrzega, że problem naraża firmy na zdalne ataki hakerów. Luka jest najprawdopodobniej aktywnie eksploatowana w środowisku naturalnym.

Zgodnie z dokumentacją firmy SonicWall dotyczącą problemu, luka, która ma krytyczny wskaźnik ważności CVSS 9.4, umożliwia zdalnemu napastnikowi wykonanie dowolnych zapytań SQL w bazie danych.

Luka ta występuje z powodu „niewystarczającego oczyszczenia danych dostarczonych przez użytkownika” i skonfigurowania scenariuszy, w których zdalna nieuwierzytelniona osoba atakująca może wysłać specjalnie spreparowane żądanie do aplikacji, której dotyczy luka, i wykonać dowolne polecenia SQL w bazie danych aplikacji.

Zgodnie z poradnikiem pomyślne wykorzystanie defektu bezpieczeństwa SonicWall GMS może umożliwić zdalnemu napastnikowi odczytywanie, usuwanie i modyfikowanie danych w bazie danych oraz uzyskanie pełnej kontroli nad zaatakowaną aplikacją.

Luka, śledzona jako CVE-2022-22280, dotyczy instalacji SonicWall Global Management System przed 9.3.1-SP2-Hotfix-2. GMS jest używany przez klientów korporacyjnych do szybkiego wdrażania i centralnego zarządzania zaporą sieciową SonicWall, sieciami bezprzewodowymi, zabezpieczeniami poczty e-mail oraz narzędziami bezpiecznego dostępu zdalnego z poziomu jednej konsoli.


Oto opis problemu Sonicwall:

CVE-2022-22280 to krytyczna luka (CVSS 9.4), która powoduje niewłaściwą neutralizację elementów specjalnych używanych w poleceniu SQL w programie SonicWall GMS.

Brak dostępnego obejścia tej luki. Jednak prawdopodobieństwo wykorzystania może zostać znacznie zmniejszone przez włączenie zapory aplikacji sieci Web (WAF) w celu blokowania prób SQLi.

Zespół reagowania na incydenty związane z bezpieczeństwem produktów firmy naciska organizacje korzystające z wersji GMS, której dotyczy problem, do natychmiastowego zastosowania poprawek.

Przypomnijmy, że nie jest to pierwszy raz, kiedy Sonic Wall musiał gwałtownie łatać produkowane przez siebie systemy. Ponad rok temu Email Security od SonicWall był dotknięty trzema lukami, które zostały wykorzystane w atakach. Rozpoczęcie wydawania łatek zajęło dostawcy około dwóch tygodni, ale publiczne ostrzeżenie o aktywnym wykorzystywaniu pojawiło się dopiero 25 dni po tym, kiedy Producent dowiedział się o atakach.

Wtedy problem wykrył FireEye, a konkretnie jego jednostka reagowania na incydenty Mandiant. Wykryła luki i ich aktywne wykorzystywanie i ostrzegła, że zaobserwowano cyberprzestępcę wykorzystującego luki SonicWall Email Security do instalowania „tylnych drzwi”, uzyskiwania dostępu do e-maili i plików oraz ruchu bocznego w sieci ofiary.

FireEye nie był w stanie definitywnie połączyć atakujących z żadną wcześniej znaną grupą, więc śledził aktora zagrożenia jako UNC2682 – UNC oznacza „bez kategorii”. Firma zauważyła, że hakerzy wydawali się mieć „intymną wiedzę” na temat działania produktu SonicWall.

Był to kolejny atak w tamtym roku, ponieważ wcześniej SonicWall też łatał aktywnie wykorzystywane luki w zabezpieczeniach. Firma ujawniła w styczniu 2021, że jej systemy wewnętrzne były celem wysoce wyrafinowanych cyberprzestępców, którzy najwyraźniej wykorzystali luki dnia zerowego w produktach Secure Mobile Access (SMA). Ataki wykorzystujące jedną lukę zero-day SMA zostały później potwierdzone przez inne firmy.

Podziel się z innymi tym artykułem!