SonicWall waarschuwt voor ernstige bugs waarmee aanvaller systeem kan overnemen

SonicWall waarschuwt gebruikers van zijn firewallproducten om een aantal patches te installeren die ernstige kwetsbaarheden repareren. Met de lekken kunnen aanvallers code met adminrechten uitvoeren of via een buffer overflow een apparaat volledig overnemen.

De kwetsbaarheden zitten in de SMA 100-serie van fysieke gateways. Dat zijn de SMA 200, 210, 400, 410 en 500v. SonicWall zegt dat er in die apparaten een aantal kwetsbaarheden zitten waar het inmiddels een patch voor heeft uitgebracht. De acht kwetsbaarheden krijgen CVSS-ratings van tussen de 6.3 en 9.8. Twee kwetsbaarheden zijn opvallend ernstig: die maken het mogelijk een stack-based buffer-overflow uit te voeren zonder dat authenticatie nodig is, waarna een aanvaller van een afstand commando's uitvoeren als de nobody-gebruiker.

Daarnaast is er een kwetsbaarheid, CVE-2021-20039, die het mogelijk maakt om als ongeauthenticeerde aanvaller van een afstand code met adminrechten uit te voeren op de apparaten. Daarmee kan een aanvaller in potentie een systeem overnemen, waarschuwt SonicWall in zijn advisory. Andere kwetsbaarheden zijn onder andere een cpu-exhaustion, een directory traversal en de mogelijk om een remote code execution uit te voeren, maar dan als geauthenticeerde gebruiker.

De kwetsbaarheden werden ontdekt door beveiligingsbedrijven Rapid7 en NCCgroup, die het aan SonicWall doorgaven. Het bedrijf heeft inmiddels patches beschikbaar die ze via hun account kunnen downloaden. In Nederland waarschuwt onder andere het Nationaal Cyber Security Center voor de bugs en roept het bedrijven op die te fixen.

CVE Soort kwetsbaarheid Score
CVE-2021-20038 Stack based buffer overflow zonder authenticatie 9.8 High
CVE-2021-20039 Command injection als root-gebruiker 7.2 High
CVE-2021-20040 Directory traversal zonder authenticatie 6.5 Medium
CVE-2021-20041 Cpu-exhaustion 7.5 High
CVE-2021-20042 'Confused deputy'-kwetsbaarheid 6.3 Medium
CVE-2021-20043 Heap-based buffer-overflow 8.8 High
CVE-2021-20044 Remote code execution na authenticatie 7.2 High
CVE-2021-20045 Heap-based en stack-based buffer-overflow 9.4 High

Door Tijs Hofmans

Nieuwscoördinator

09-12-2021 • 07:30

11

Reacties (11)

Sorteer op:

Weergave:

CVE-2021-20038 t/m 20041, CVE-2021-20043 en CVE-2021-20044 betreffen kwetsbaarheden in de webserver (Apache), diens configuratie of de webapplicatie die erop draait.

CVE-2021-20042 lijkt op een foute web server/applicatie/proxy configuratie.

CVE-2021-20045 betreft een kwetsbaarheid in de SMB implementatie/afhandeling.

De meeste kwetsbaarheden kunnen gemitigeerd worden door de management interfaces af te schermen van de rest van het netwerk, zoals het hoort. Dat verkleint de kans op misbruik in de periode voordat de patches geïnstalleerd zijn.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 03:25]

Het is wel goed raak telkens met de SMA serie van Sonicwall. Ik blijf die appliance upgraden 8)7
Mwa, vandaag is het de SMA, morgen is het weer een Juniper, overmorgen weer een Cisco de dag erna weer een Palo Alto (al de frequentie van kwetsbaarheden in de SMA's inderdaad op dit moment wel hoog ligt). Uiteindelijk is het belangrijk dat je als beheerder goed nadenkt over je netwerkdeployment. Dat er anno 2021 nog steeds managementinterfaces intern of extern exposed worden is een kwalijke zaak en getuigt vooral van incapabel technisch personeel. Schijnbaar zijn concepten als VLANs, 802.1x en andere protocollen die het beveiligen van je netwerk helpen nog steeds erg moeilijk te begrijpen en implementeren. De hoeveelheid kantoren waar ik nog steeds zie dat hele netwerkbedrijven op een enkel subnet zitten met alle gevaren van dien is toch wel erg zorgwekkend

Ook bijvoorbeeld CVE-2021-20045 (dank voor de info @The Zep Man ) is ongelooflijk. Hoe je het besluit kunt maken om een samba service op je bedrijfsfirewall te draaien blijft voor mij een raadsel. Zelfs als je een klein bedrijf hebt, een samba servertje draai je op minimale hardware en kost je uiteindelijk geen ruk. Maargoed, zolang vendors functies als samba, uPNP en andere, toch meer consumer-gerichte features in hun apparatuur implementeren zullen mensen hier altijd gebruik van maken.

Edit, ook hier, ik verwar de SMA met NSA, dus mijn opmerking is wellicht niet helemaal relevant tot dit apparaat.

[Reactie gewijzigd door geeMc op 23 juli 2024 03:25]

Even ter info, de SMA heeft zijn management interface per definitie open naar publiek (helaas). Hij gebruikt voor zijn interne management portal dezelfde interface als voor de client portals.

Clients kunnen dan wel op een ander vlan zitten, maar de frontend van dat ding is publiekelijk toegankelijk.
Ho, nevermind, je hebt natuurlijk helemaal gelijk. Ik verwar SMA even met de NSA, excuus :).

[Reactie gewijzigd door geeMc op 23 juli 2024 03:25]

Iedere software heeft natuurlijk beveiligingsproblemen maar ik ben blij dat wij zijn overgestapt op het opensource OPNSense. Goede en stabiele hardware en fantastische software. Ook de performance / kosten zijn enorm in het voordeel t.o.v. een Cisco, Sonicwall of Zyxel. Ik heb vroeger veel van die dingen weg gezet maar wat ben ik blij dat ik daar niets meer mee van doen heb. Daar komt bij dat OPNsense een Nederlands bedrijf is en je daarmee dus de lokale industrie stimuleert: https://www.deciso.com/

Uiteraard heeft OPNSense (of installeer er PFSense op, wat jij wil) gewoon regelmatig beveiligingsupdates maar als ik kijk naar de regelmaat van OPNSense/PFSense, dan heb ik daar wel een beter gevoel bij.
Maak je hier dan ook gebruik van allerlei functionaliteit welke die commerciële partijen onder de NextGen-noemer laten vallen?

Web/Dns/Application filtering?
Web Application Firewalling?


Want volgens de documentatie die ik zo even snel terugvind, heb je daar plugins voor nodig (welke ook meestal betalend zijn).
OPNSense heeft inderdaad een plugin die je Firewall deels layer7 aware maakt. Dit is wel met een korreltje zout want je kan geen firewall rules maken die application aware zijn. Het enige wat kan met de plugins is applicaties blokkeren op het netwerk dat niet kan met standaard firewall rules.

Ik beschouw OPNSense dus niet als volwaardige L7 firewall (of next gen)


Wat ook ontbreekt in OPNSense is een firewall log. Je kan wel een realtime log bekijken maar historische gegevens zijn er niet. Je kan dus geen reporting doen op welke ports/ip's er gedurende een periode geblocked werden
Eens wat betreft die logging maar dit is ook vaak erg slecht geregeld op zogenaamde 'NG Firewalls'. Als je dit goed wil regelen kan je toch beter centraal loggen (wat OPNsense prima ondersteund). Ik ben er nog niet helemaal over uit of dit goed (je wil deze performance impact niet op je firewall hebben) of slecht (je wil snel overzicht) is. Maar zoals gezegd, ik mis vaak ook goede rapporten op andere firewall's. Ik kreeg laatst niet eens een historisch overzicht van VPN verbindingen uit een firewall....
onder de NextGen-noemer laten vallen?
Nee, dat niet. Persoonlijk vindt ik het 'NextGen' firewall verhaal ook enkel maar een verkoopverhaal. Het geeft meer problemen dan het oplost en werkt niet met moderne werkplek oplossingen. Maar ik zal inhoudelijk reageren op de opties.

Web/Dns/Application filtering?
Web filtering gebruiken we niet maar OPNSense/PFSense ondersteund dit wel. Web proxy's geven echter naar mijn mening veel problemen en SSL verkeer wordt uiteraard niet geïnspecteerd. Je kunt dat gaan onderscheppen maar veel moderne diensten gaan daar niet mee akkoord (zoals Google Chrome).

DNS filtering gebruiken wij met een basis (abuse) blocklist. maar je kunt volgens mij daar helemaal los gaan.

Application filtering wordt ondersteund (Sensei) maar dit is een los apart platform met maandelijkse kosten (net als bij andere oplossingen). Wij zien hier de toegevoegde waarde tegen de kosten niet van in.

Web Application Firewalling is simpelweg een leugen (ten minste, voor de meeste mensen). Men moet dit namelijk heel nauwkeurig tunen op de applicatie die men probeert te beschermen. Het kan een leuke toevoeging op je bestaande beveiliging zijn maar daarvoor moet je eerst weten waar je jezelf tegen moet beschermen zonder dat je de achterliggende applicatie 'kapot' maakt. De meeste IT beheerders die ik ken hebben die kennis helemaal niet (ik ook niet en ik verdiep mij er graag in). En dan moet je dit nog om kunnen zetten naar actieve blockregels wat ook weer uitgebreide kennis vereist van de firewall. En dan begint je RegEx feest pas echt :+
Uiteindelijk vind ik WAF eerder een beveiligingsrisico dan een toevoeging. Het wordt namelijk verkocht als een magisch vinkje dat je aanzet en je een veilig gevoel geeft terwijl dit niet het geval is.

Uiteindelijk passen deze 'NextGen' zaken ook helemaal niet bij een moderne werkplek. Microsoft, Google of zelfs je bank geven allemaal aan dat zij geen (SSL) onderbreking of inspectie van hun dataverkeer toestaan. Proxy's worden ook sterk afgeraden. Het hele idee van een moderne werkplek is dat het een eiland is wat zich overal kan bevinden. Daar helpen die NG firewall's niets in...

Een veel beter pad is dan weer IDS of IPS systemen. En daar bieden opensource firewalls weer perfecte ondersteuning voor. Iets dat je toch niet op de firewall zelf wil draaien maar wil offloaden naar eigen systemen zoals Suricata.

Anyway, het is open-source dus ik zou zeggen: probeer het eens. Ik kan je alleen garanderen dat OPNsense en PFsense niets onder doen aan de firewalls die ik vroeger opleverde (Sophos XG/UTM, Cisco ASA/PIX, Watchguard). Er zullen uiteraard bepaalde features zijn die bepaalde merken beter kunnen maar heb je die echt nodig? En leveren die extra kosten echt wel meer beveiliging?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:25]

* snip, verkeerde reactie *

[Reactie gewijzigd door Teaclo op 23 juli 2024 03:25]

Op dit item kan niet meer gereageerd worden.