Sonicwall: 178.000 verwundbare Next-Generation-Firewalls im Netz erreichbar

IT-Sicherheitsforscher haben das Internet auf Next-Generation-Firewalls von Sonicwall gescannt, die für zwei bestimmte Sicherheitslücken anfällig sind. Dabei sind sie auf 178.000 verwundbare Geräte gestoßen. Updates zum Schließen der Schwachstellen stehen bereit. Da Exploit-Code für eine der Lücken existiert, sollten Netzwerkverantwortliche die Aktualisierungen rasch nachholen.

Die IT-Forscher von Bishop Fox haben dabei zwei Schwachstellen genauer ins Visier genommen: Ein Stack-basierter Pufferüberlauf kann einen Denial-of-Service auslösen, bei dem die Sonicwall abstürzt (CVE-2023-0656, CVSS 7.5, Risiko "hoch"). Im März 2023 hat Sonicwall aktualisierte Firmware veröffentlicht, um die Lücke zu schließen. Ein Jahr zuvor fand sich ein ähnlicher Fehler in SonicOS, der jedoch zusätzlich das Einschleusen von Schadcode ermöglichte (CVE-2022-22274, CVSS 9.4, kritisch). Eine Fehlerkorrektur steht seit März 2022 bereit.

Sonicwall-Lücken sehr ähnlich

Die IT-Analytiker sind der Auffassung, dass die Lücken im Kern gleichartig und lediglich über unterschiedliche HTTP-URIs ausnutzbar sind, da das Code-Muster auf eine Wiederbenutzung von verwundbarem Code hinweise. Dazu haben die Forscher ein Skript entwickelt, das herausfinden kann, ob ein Gerät für die Schwachstellen anfällig ist, ohne, dass die Firewall abstürzt.

Während für die ältere Lücke kein Exploit verfügbar war, haben die IT-Forscher für die jüngere Lücke eine technische Übersicht sowie zugehörigen Proof-of-Concept-Exploitcode (PoC) von SSD Labs gefunden. Nach Anpassung der HTTP-URI in dem PoC ließ sich damit auch die ältere Sicherheitslücke auslösen, sodass zwei HTTP-URIs die neuere und drei URIs die ältere Sicherheitslücke provozieren konnten.

Verwundbare Sonicwalls: Gesiebter Netzwerkscan

Um nach verwundbaren Geräten zu suchen, haben die IT-Forscher zunächst mit dem Dienst BinaryEdge nach Adressen von Geräten gesucht, die HTTP-Antworten mit "Server: SonicWALL" herausgeben. Die erste Näherung lieferte 1,5 Millionen Geräte zurück. Nach weiterer Filterung etwa von Antworten, die andere Geräte beschreiben, etwa mit Antworten wie "Server: SonicWALL SSL-VPN Web Server" sowie der Eingrenzung auf IPv4 und die Nutzung von TLS blieben noch rund 235.000 Einträge übrig.

Der Scan mit dem selbst entwickelten Schwachstellenscanner lieferte dann 146.116 Geräte zurück, die für die Lücke CVE-2022-22274 anfällig waren, sowie 178.608 für CVE-2023-0656. Die Anzahl der für beide Schwachstellen verwundbaren Firewalls stimmt bis in den Sub-Promillebereich mit denen für die ältere Lücke überein: Wer die alten Lücken nicht abgedichtet hat, schlampt offenbar auch bei der Absicherung gegen neuere Sicherheitslücken.

Die IT-Sicherheitsforscher ziehen den Schluss daraus, dass IT-Verantwortliche zunächst den Zugriff auf das Web-Management-Interface nicht öffentlich im Internet zugreifbar machen sollten. Im Anschluss sollten sie die jüngste verfügbare Firmware auf ihre Geräte installieren. In ihrem Blog-Beitrag gehen die Mitarbeiter von Bishop Fox noch weiter in die Details, etwa, wie sie die Firmware entschlüsselt und Code-Analysen vorgenommen haben.

Zuletzt ermöglichten im vergangenen Oktober Sicherheitslücken im SonicOS-Betriebssystem von Sonicwall Denial-of-Service-Attacken. Von den neun Sicherheitslücken erreichten dort sieben die Einstufung als hohes Risiko.

(dmk)