Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen haavoittuvuus SonicWall VPN-laitteissa

Haavoittuvuus31/2020

Haavoittuvuus (CVE-2020-5135) altistaa SonicOS-käyttöjärjestelmän palvelunestohyökkäykselle puskuriylivuodon ja mahdollisen mielivaltaisen ohjelmakoodin suorittamisen avulla.

Tietoturvatutkijat ovat löytäneet kriittisen ohjelmointivirheen SonicOS-käyttöjärjestelmän komponentista, joka käsittelee mukautettuja protokollia. Komponentti on saavutettavissa internetin kautta. Hyökkääjä voi käyttää komponenttia hyväkseen, mikäli hyökkääjä tietää laitteen IP-osoitteen.

Tämä kriittinen ohjelmointivirhe voi aiheuttaa palvelunestohyökkäyksen ja kaataa laitteita, ohjelmakoodin suoritus on myös todennäköisesti mahdollista. Haavoittuvuus on saanut CVSS-arvokseen 9.4/10 ja tämän vuoksi päivitykset tulisi asentaa viipymättä.

 

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Palvelunestohyökkäys
  • Komentojen mielivaltainen suorittaminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

SonicOS 6.5.4.6-79n ja aiemmat
SonicOS 6.5.1.11-4n ja aiemmat
SonicOS 6.0.5.3-93o ja aiemmat
SonicOSv 6.5.4.4-44v-21-794 ja aiemmat
SonicOS 7.0.0.0-1

Ratkaisu- ja rajoitusmahdollisuudet

SonicWall on julkaissut päivityksen, jolla haavoittuvuus voidaan korjata.