Sonicwall补丁11防火墙漏洞
Firewall-Builder SonicWALL通过实体技术的研究人员共同修补了其Sonicos操作系统中披露的11个常见漏洞和暴露(CVES),其中一个人已被分配为9.4的关键CVSS得分。
最严重的漏洞CVE-2020-5135是Sonicos Gen 6的缓冲溢出漏洞,版本6.5.4.7,6.5.1.12,6.0.5.3和Sonicosv 6.5.4.v。它可以通过恶意演员对受影响的产品来造成拒绝服务(DOS)并执行任意代码。
“测试解决方案在防火墙上使用SSL-VPN远程访问服务,并且在DOS攻击的情况下,用户可以与内部网络及其工作站断开连接,”凭借DOS攻击,凭借赛道的克雷格·杨。
“如果攻击者设法执行任意代码,他们可能能够开发攻击并穿透公司的内部网络,”阿布拉莫沃说。
第二个漏洞CVE-2020-5133在CVSS矩阵上被评为8.2,并且可以允许远程,未经身份验证的攻击者导致由于缓冲区溢出而导致的DOS攻击,从而导致防火墙崩溃。Sonicos中的进一步失败也可能是由CVES 2020-5137,5138,5139和5140的成功开发,所有这些都是可利用的,并且CVE 2020-5134和5136,这对其不太严重的是攻击它们需要认证。
额外的检测到漏洞是CVES,包括CVE-2020-5141,它可以启用远程,未经身份验证的攻击者来蛮力SSL-VPN服务中的虚拟辅助票证身份; CVE-2020-5142,一个跨站点脚本(XSS)漏洞,它使远程,未经身份验证的攻击者能够在防火墙SSL-VPN门户中执行任意JavaScript代码;和CVE-2020-5143存在于Sonicos SSL-VPN登录页面中,并且可以允许远程,未经身份验证的攻击者根据服务器响应执行防火墙管理管理员用户名枚举。
根据IDC统计数据的第五个网关安全设备的SonicWALL表示,到目前为止,它并不了解网络罪犯积极利用的任何讨论漏洞。
建议任何使用受影响产品的客户升级他们的固件 - 不需要有效的支持合同。
SonicWALL每周告诉计算机,它保持最高标准,以确保其产品,解决方案,服务,技术和任何相关的知识产权的完整性,因此,非常认真地披露或发现。
“这是现代时代的供应商研究人员合作的最佳实践,”ARIA Eslambolchizadeh的SonicWALL负责人SonicWALL负责人。
“这些类型的开放和透明关系可以保护在线景观的完整性,并确保在他们影响最终用户之前更好地保护高级威胁和新兴漏洞,就像这里一样。”
SonicWALL提供的披露漏洞的完整列表,以及如何更新风险产品的说明和指导。