Quase 800 mil VPNs da SonicWall em todo o mundo precisam de correção urgente depois que um fornecedor lançou uma atualização de segurança para uma falha crítica no mecanismo na semana passada. Pesquisadores da Tripwire descobriram a vulnerabilidade de estouro de buffer baseado na estrutura em pilha do Network Security Appliance (NSA) da SonicWall, ou mais especificamente em seu sistema operacional SonicOS.
De acordo com o pesquisador de segurança da Tripwire Craig Young, que descobriu o bug, o problema existe no serviço HTTP/HTTPS usado para gerenciamento de produtos e acesso remoto VPN SSL. Aparentemente, ele pode ser acionado por uma solicitação HTTP não autenticada envolvendo um manipulador de protocolo personalizado. Isso, segundo Young, permite que um cibercriminosos use essa falha para causar uma condição de negação de serviço persistente.
A equipe de pesquisadores de segurança da Tripwire VERT também confirmou a capacidade de desviar o fluxo de execução por meio da corrupção da estrutura de pilha, indicando que uma exploração de execução de código é provavelmente viável. Essa falha existe na pré-autenticação e em um componente (SSLVPN) que normalmente é exposto à internet.
Com mais de 795 mil dispositivos SonicWall expostos de acordo com uma pesquisa feita por meio do mecanismo Shodan que permite encontrar computadores conectados à internet, o bug pode ser explorado para causar danos generalizados.
De acordo com o SonicWall, a vulnerabilidade tem uma pontuação de 9,4 no CVSS (Common Vulnerability Scoring System, ou sistema de pontuação comum de vulnerabilidades) talvez um reflexo do fato de que pode levar não apenas à negação de serviço, mas também à execução remota de código arbitrário.
Veja isso
NSA publica recomendações sobre proteção IPsec a VPNs
Fortinet, Pulse, Palo Alto: VPNs em perigo
As versões afetadas são: SonicOS 6.5.4.7-79n e anterior, SonicOS 6.5.1.11-4n e anterior, SonicOS 6.0.5.3-93o e anterior, SonicOSv 6.5.4.4-44v-21-794 e anterior e SonicOS 7.0.0.0- 1
Apesar de a SonicWall ter lançado patches e recomenda que os usuários façam a atualização.
Os sistemas VPN estão sendo cada vez mais visados por invasores que procuram encontrar uma maneira de entrar nos sistemas corporativos, devido ao grande número de funcionários remotos que atualmente dependem deles.
Em abril, foi confirmado que os cibercriminosos estavam explorando bugs conhecidos nas VPNs Citrix e Pulse Secure para implantar ransomware em hospitais, enquanto nesta semana descobriu-se que outros invasores estavam encadeando exploits VPN com Zerologon para comprometer os serviços de identidade do Active Directory.