聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的CVSS v3评分为9.3,其攻击向量基于网络、复杂度低、无需认证或用户交互。SonicWall 公司在安全通告中提到,“SonicWall SonicOS 管理访问权限中存在一个访问控制不当漏洞,可导致越权访问资源,在某些情况下还可导致防火墙崩溃。该漏洞影响 SonicWall Gen5 和 Gen6 设备以及运行 SonicOS 7.0.1-5035和更早版本的 Gen7 设备。”
受影响的机型包括:
Gen 5:运行5.9.2.14-12o 及更早版本的SOHO设备
Gen 6:运行6.5.4.14-109n 及更早版本的Various TZ、NSA和 SM 机型
Gen 7:运行SonicOS build 7.0.1-5035及更早版本的TZ和NSA机型
建议系统管理员升级至如下已修复该漏洞的版本:
Gen 5设备升级至:5.9.2.14-13o
Gen 6设备升级至:6.5.4.15.116n
SM9800、NSsp 12400和NSsp 12800设备升级至:6.5.2.8-2n
Gen 7设备升级至:SonicOS 固件版本高于7.0.1-5035的设备
用户可通过 mysonicwall.com下载这些安全更新。建议无法立即应用这些修复方案的用户将防火墙管理接口限制到可信来源或禁止从互联网访问WAN管理访问权限。SonicWall 公司还在帮助页面发布了相关指南。
SonicWall 防火墙广泛用于大量业务关键行业和企业环境中,常被用于获得对企业网络的初始访问权限。美国网络安全和基础设施安全局 (CISA) 自2022年起就提醒注意 SonicWall 设备漏洞遭活跃利用的情况。
https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-critical-access-control-flaw-in-sonicos/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~