Các nhà nghiên cứu bảo mật đã phát hiện hơn 178.000 tường lửa next-generation (NGFW) của SonicWall có giao diện quản lý có thể truy cập trực tuyến có nguy cơ bị tấn công từ chối dịch vụ (DoS) và tiềm ẩn khả năng bị tấn công thực thi mã từ xa (RCE).
Các thiết bị này bị ảnh hưởng bởi hai lỗ hổng DoS có định danh là CVE-2022-22274 và CVE-2023-0656, lỗ hổng đầu tiên có thể cho phép kẻ tấn công thực thi mã từ xa.
Jon Williams, kỹ sư bảo mật tại Bishop Fox cho biết: “Bằng cách sử dụng nguồn dữ liệu từ BinaryEdge, chúng tôi đã rà quét các tường lửa SonicWall có giao diện quản lý đang được kết nối với internet và nhận thấy rằng 76% (178.637 trong số 233.984) dễ bị tấn công trước một hoặc cả hai vấn đề”.
Theo Bishop Fox, mặc dù hai lỗ hổng này có bản chất giống nhau, nhưng chúng có thể bị khai thác ở các đường dẫn HTTP URI khác nhau.
Ngay cả khi kẻ tấn công không thể thực thi mã trên thiết bị bị nhắm mục tiêu, chúng vẫn có thể khai thác lỗ hổng để buộc thiết bị đó chuyển sang chế độ bảo trì, yêu cầu quản trị viên can thiệp để khôi phục hoạt động bình thường.
Do đó, ngay cả khi không xác định được khả năng thực thi mã từ xa, kẻ xấu vẫn có thể lợi dụng các lỗ hổng để vô hiệu hóa tường lửa và quyền truy cập VPN mà nó cung cấp cho mạng công ty.
Theo dữ liệu từ nền tảng giám sát mối đe dọa Shadowserver, hơn 500.000 tường lửa SonicWall hiện đang tiếp xúc với internet, trong đó có hơn 328.000 tường lửa ở Mỹ.
Mặc dù Nhóm ứng cứu sự cố bảo mật sản phẩm SonicWall (PSIRT) cho biết họ không có bất kỳ thông tin nào về việc những lỗ hổng này đã bị khai thác trên thực tế, nhưng mã khai thác (PoC) cho CVE-2022-22274 đã có sẵn trực tuyến.
Williams cho biết: “SSD Labs đã phát hành một bài viết kỹ thuật về lỗi này kèm theo PoC, lưu ý hai đường dẫn URI có thể bị khai thác để kích hoạt lỗ hổng”.
Quản trị viên được khuyến nghị nên đảm bảo giao diện quản lý cho thiết bị SonicWall NGFW của họ không được công khai trực tuyến và nâng cấp lên phiên bản firmware mới nhất càng sớm càng tốt.
Các thiết bị của SonicWall trước đây đã trở thành mục tiêu trong các cuộc tấn công gián điệp mạng và bị nhiều nhóm ransomware như HelloKitty và FiveHands, tấn công.
Danh sách khách hàng của SonicWall bao gồm hơn 500.000 doanh nghiệp từ hơn 215 quốc gia và vùng lãnh thổ, bao gồm các cơ quan chính phủ và một số công ty lớn nhất trên toàn thế giới.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Chiến dịch phát tán mã độc đánh cắp thông tin Phemedrone đã khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL
Tín nhiệm mạng | Có tới 5 dòng mã độc khác nhau đã được các tác nhân đe dọa triển khai như một phần của các hoạt động sau khai thác, lợi dụng hai lỗ hổng zero-day trong các thiết bị VPN Ivanti Connect Secure (ICS) kể từ đầu tháng 12 năm 2023
Tín nhiệm mạng | GitLab đã phát hành các bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng, bao gồm một lỗ hổng có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng.
Tín nhiệm mạng | Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm sáu lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), trích dẫn bằng chứng về việc khai thác trong thực tế.
Tín nhiệm mạng | Một nhóm tin tặc Thổ Nhĩ Kỳ có động cơ tài chính đang nhắm mục tiêu tấn công vào các máy chủ Microsoft SQL (MSSQL) trên toàn thế giới để mã hóa các tệp của nạn nhân bằng phần mềm ransomware Mimic
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật hàng tháng, Patch Tuesday, của tháng 1 năm 2024 để giải quyết 49 lỗ hổng, bao gồm 12 lỗ hổng thực thi mã từ xa.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
