Kriittinen haavoittuvuus SonicWall VPN-laitteissa
Haavoittuvuus31/2020
Haavoittuvuus (CVE-2020-5135) altistaa SonicOS-käyttöjärjestelmän palvelunestohyökkäykselle puskuriylivuodon ja mahdollisen mielivaltaisen ohjelmakoodin suorittamisen avulla.
Tietoturvatutkijat ovat löytäneet kriittisen ohjelmointivirheen SonicOS-käyttöjärjestelmän komponentista, joka käsittelee mukautettuja protokollia. Komponentti on saavutettavissa internetin kautta. Hyökkääjä voi käyttää komponenttia hyväkseen, mikäli hyökkääjä tietää laitteen IP-osoitteen.
Tämä kriittinen ohjelmointivirhe voi aiheuttaa palvelunestohyökkäyksen ja kaataa laitteita, ohjelmakoodin suoritus on myös todennäköisesti mahdollista. Haavoittuvuus on saanut CVSS-arvokseen 9.4/10 ja tämän vuoksi päivitykset tulisi asentaa viipymättä.
Kohde
- Verkon aktiivilaitteet
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
SonicOS 6.5.4.6-79n ja aiemmat
SonicOS 6.5.1.11-4n ja aiemmat
SonicOS 6.0.5.3-93o ja aiemmat
SonicOSv 6.5.4.4-44v-21-794 ja aiemmat
SonicOS 7.0.0.0-1
Mistä on kysymys?
SonicWall on julkaissut päivityksen, jolla haavoittuvuus voidaan korjata.