I ricercatori di Bishop Fox hanno scoperto che oltre 178.000 firewall SonicWall di nuova generazione (NGFW) con l'interfaccia di gestione online sono vulnerabili agli attacchi Denial of Service (DoS) e a potenziali attacchi RCE (Remote Code Execution). Le falle di sicurezza DoS sono tracciate come CVE-2022-22274 e CVE-2023-0656. La prima di questa consente anche l'esecuzione di codice da remoto. Come rivelato da Jon Williams, Senior Security Engineer presso Bishop Fox: “utilizzando i dati sorgente BinaryEdge, abbiamo scansionato i firewall SonicWall con interfacce di gestione esposte a Internet e abbiamo scoperto che il 76% (178.637 su 233.984) è vulnerabile a uno o entrambi i problemi”. Le due vulnerabilità semebrano le stesse, poiché causate dal riutilizzo dello stesso modello di codice vulnerabile. Tuttavia, secondo i ricercatori sono sfruttabili su percorsi URI HTTP diversi. I malintenzionati potrebbero inoltre sfruttarle per disabilitare i firewall perimetrali e l’accesso VPN che forniscono alle reti aziendali.

SonicWall: più di 500.000 firewall in tutto il mondo esposti alle vulnerabilità

Secondo i dati della piattaforma di monitoraggio Shadowserver, sono attualmente esposti online più di 500.000 firewall SonicWall, di cui oltre 328.000 negli Stati Uniti. SonicWall Product Security Incident Response Team (PSIRT) afferma di non essere a conoscenza del fatto che queste vulnerabilità sono state sfruttate in natura. Tuttavia, almeno un exploit proof-of-concept (PoC) è disponibile online per CVE-2022-22274. I ricercatori consigliano agli amministratori di assicurarsi che l'interfaccia di gestione dei propri dispositivi SonicWall NGFW non sia esposta online. Inoltre è necessario eseguire l'aggiornamento alle versioni firmware più recenti il ​​prima possibile.

In passato, i dispositivi SonicWall sono stati già presi di mira da attacchi di spionaggio informatico e da gruppi di ransomware, come HelloKitty e FiveHands. Ad esempio, lo scorso marzo, SonicWall PSIRT e Mandiant hanno rivelato che presunti hacker cinesi hanno installato malware personalizzato su dispositivi SonicWall Secure Mobile Access (SMA) privi di patch per la persistenza a lungo termine nelle campagne di spionaggio informatico. A luglio i clienti sono stati inoltre avvisati di correggere urgentemente diversi difetti critici di bypass dell'autenticazione nei prodotti di gestione del firewall GMS e di reporting di rete Analytics dell'azienda. L'elenco dei clienti di SonicWall comprende oltre 500.000 aziende provenienti da più di 215 paesi e territori. Tra questi figurano anche agenzie governative e alcune delle più grandi aziende a livello mondiale.