Unauthentifizierte, entfernte Angreifer können auf Appliances der SMA 100-Serie einen RCE auf Root-Ebene durchführen.
Kritische Sicherheitslücken in den Secure Mobile Access (SMA) VPN-Appliances der 100er-Serie von SonicWall könnten es einem nicht authentifizierten, entfernten Benutzer ermöglichen, Code als Root auszuführen.
Die SMA 100-Serie wurde entwickelt, um einen durchgängig sicheren Fernzugriff auf Unternehmensressourcen zu ermöglichen, unabhängig davon, ob diese vor Ort, in der Cloud oder in hybriden Rechenzentren gehostet werden. Sie bietet außerdem eine richtliniengestützte Zugriffskontrolle auf Anwendungen, nachdem die Identität und das Vertrauen von Benutzern und Geräten festgestellt wurden.
Der schwerwiegendste der Fehler, offiziell ein nicht authentifizierter stapelbasierter Pufferüberlauf, wird auf der CVSS-Schweregradskala mit 9,8 von 10 Punkten bewertet. Wenn er ausgenutzt wird, könnte ein entfernter, nicht authentifizierter Angreifer Code als „nobody“-Benutzer in der Appliance ausführen, was bedeutet, dass die Person als root eintritt. Der Angreifer könnte anschließend die vollständige Kontrolle über das Gerät übernehmen und Sicherheitsrichtlinien sowie Zugriffsrechte für Benutzerkonten und Anwendungen aktivieren und deaktivieren.
Das Problem (CVE-2021-20038) tritt auf, weil die Funktion strcat() bei der Verarbeitung von Umgebungsvariablen der HTTP-GET-Methode verwendet wird, die im Apache httpd-Server der Appliance eingesetzt wird.
„Die Schwachstelle ist darauf zurückzuführen, dass die Umgebungsvariablen des mod_cgi-Moduls der GET-Methode des SonicWall SMA SSLVPN Apache httpd-Servers einen einzelnen stapelbasierten Puffer mit `strcat‘ verwenden“, heißt es in dem am Dienstag veröffentlichten Sicherheitshinweis von SonicWall.
Andere kritische SonicWall CVEs
CVE-2021-20038 ist nur einer von vielen Fehlern, die der Hersteller diese Woche behoben hat. Ebenfalls erwähnenswert ist eine weitere Gruppe von Fehlern, die unter der Bezeichnung CVE-2021-20045 zusammengefasst sind und zusammen einen kritischen CVSS-Wert von 9,4 aufweisen. Dabei handelt es sich um Heap- und Stack-basierte Pufferüberläufe im Datei-Explorer, die eine Remote-Code-Ausführung (RCE) als Root ermöglichen.
„Diese Schwachstelle wird durch die sonicfiles-Methode RAC_COPY_TO (RacNumber 36) verursacht, die es Benutzern ermöglicht, Dateien auf eine SMB-Freigabe hochzuladen, und die ohne jegliche Authentifizierung aufgerufen werden kann“, heißt es in dem Advisory. „RacNumber 36 der sonicfiles-API entspricht der Python-Methode upload_file, die mit filexplorer binary verknüpft ist, einem benutzerdefinierten, in C++ geschriebenen Programm, das für eine Reihe von Speichersicherheitsproblemen anfällig ist.“
Es gibt auch CVE-2021-20043 mit einem kritischen CVSS-Score von 8,8, bei dem es sich ebenfalls um einen Heap-basierten Pufferüberlauf handelt, der die Ausführung von Code auf Root-Ebene ermöglicht, für dessen Ausnutzung jedoch eine Authentifizierung erforderlich ist. Er wird in der Funktion getBookmarks gefunden und ist ebenfalls auf die ungeprüfte Verwendung von strcat zurückzuführen.
„Diese Schwachstelle wird durch die Methode RAC_GET_BOOKMARKS_HTML5 (RacNumber 35) verursacht, die es Benutzern ermöglicht, ihre Lesezeichen aufzulisten“, heißt es in dem Advisory.
Die verbleibenden Fehler sind ein Füllhorn von authentifizierten und nicht authentifizierten Schwachstellen, die in ihrem Schweregrad von CVS 6.3 bis 7.5 reichen, wie in der folgenden Tabelle zu sehen ist:
Quelle: SonicWall.
SonicWall hat Patches für die Bugs herausgegeben, die Versionen der Produkte SMA 200, 210, 400, 410 und 500v betreffen. Appliances der SMA 100-Serie mit aktivierter WAF sind ebenfalls von den meisten Fehlern betroffen, so das Unternehmen. Eine vollständige Liste der betroffenen Geräte und Versionen finden Sie hier.
Jacob Baines von Rapid7 und Richard Warren von der NCC Group wurden für die Entdeckung der Schwachstellen verantwortlich gemacht.
Patch jetzt
Nach Angaben des Anbieters gibt es bisher keine Hinweise darauf, dass diese Schwachstellen in freier Wildbahn ausgenutzt werden. Da SonicWall-Geräte jedoch ein beliebtes Ziel für Cyberangreifer sind, sollten Patches auf der Tagesordnung stehen.
Im Juli gab SonicWall eine dringende Sicherheitswarnung heraus, in der Kunden gewarnt wurden, dass eine „drohende Ransomware-Kampagne mit gestohlenen Anmeldeinformationen“ aktiv auf bekannte Schwachstellen in der SMA 100-Serie und den Secure Remote Access (SRA)-VPN-Appliances abzielt.
Im März wurde bekannt, dass eine neue Variante des Mirai-Botnets auf bekannte Schwachstellen in SonicWall-Geräten (sowie in D-Link und Netgear) abzielte. Und im Januar warnte das Sicherheitsunternehmen Tenable, dass „hochentwickelte Bedrohungsakteure“ CVE-2021-20016, eine kritische SQL-Injection-Schwachstelle in SMA 100-Geräten, ausnutzen.
Im Internet gibt es eine Fülle unstrukturierter Daten zu den neuesten Sicherheitsbedrohungen. Melden Sie sich noch HEUTE an, um die wichtigsten Konzepte der natürlichen Sprachverarbeitung (NLP) kennenzulernen und zu erfahren, wie man sich in diesem Datenmeer zurechtfindet und Cybersecurity-Bedrohungen einen Kontext verleiht (ohne ein Experte zu sein!). An dieser von Rapid7 gesponserten interaktiven LIVE Town Hall von Threatpost nehmen die Sicherheitsforscher Erick Galinkin von Rapid7 und Izzy Lazerson von IntSights (einem Unternehmen von Rapid7) sowie die Threatpost-Journalistin und Moderatorin des Webinars, Becky Bracken, teil.
Registrieren Sie sich JETZT für die LIVE-Veranstaltung!
Einige Teile dieses Artikels stammen aus:
threatpost.com
AWS gehört zu den 12 Cloud-Diensten, die von Schwachstellen im Eltima SDK betroffen sind