Vulnerabilidades en la serie SMA 100 de SonicWall
ANÁLISIS
Los fallos afectan a los productos SMA 200, 210, 400, 410 y 500v que ejecutan las versiones 9.0.0.11-31sv y anteriores, 10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv y anteriores.
La explotación exitosa de las fallas podría permitir a un adversario ejecutar código arbitrario, cargar payloads especialmente diseñados, modificar o eliminar archivos ubicados en directorios específicos, reiniciar el sistema de forma remota, eludir las reglas del firewall e incluso consumir toda la CPU del dispositivo, causando potencialmente una denegación de servicio (DoS).
La lista de ocho vulnerabilidades de seguridad identificadas en sus productos de acceso remoto es la siguiente [2]:
- CVE-2021-20038 (puntuación CVSS: 9,8) - Vulnerabilidad de desbordamiento de búfer de pila sin autenticación en la serie SMA100.
Una vulnerabilidad de gravedad crítica (CVSS 9.8) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado provocar un desbordamiento de búfer de pila y ejecutar código como usuario sin privilegios en el dispositivo SMA100. Se ha observado que los usuarios de SMA 100 con WAF con licencia/habilitado se ven afectados por esta vulnerabilidad.
La vulnerabilidad se debe a que el método GET del servidor SonicWall SMA SSLVPN Apache httpd de las variables de entorno del módulo mod_cgi utilizan un único búfer basado en la pila utilizando `strcat`. Esto permite a un atacante remoto provocar un desbordamiento del búfer basado en la pila y daría lugar a la ejecución de código.
- CVE-2021-20039 (puntuación CVSS: 7,2) - Vulnerabilidad de inyección de comandos autentificados de la serie SMA 100 como root.
Una vulnerabilidad de alta gravedad (CVSS 7.2) en los dispositivos SMA 100, que incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios en el dispositivo SMA 100 como usuario root. Esto puede conducir potencialmente a que el atacante remoto autenticado tome el control del dispositivo SMA 100 de forma remota. Se ha observado que los usuarios de SMA 100 con WAF con licencia/habilitado NO se ven afectados por esta vulnerabilidad.
La vulnerabilidad se debe al método http POST de SonicWall SMA SSLVPN `/cgi-bin/viewcert` que permite a las personas autenticadas cargar, ver o eliminar certificados SSL. Un atacante remoto autenticado puede ejecutar comandos arbitrarios utilizando este método POST http.
- CVE-2021-20040 (puntuación CVSS: 6,5) - Vulnerabilidad en la carga de archivos no autenticada de la serie SMA 100.
Una vulnerabilidad de gravedad media (CVSS 6.5) en los dispositivos SMA 100, que incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado cargar archivos arbitrarios. El atacante puede cargar páginas web manipuladas en el directorio raíz del servidor web o archivos maliciosos en cualquier directorio del dispositivo como usuario no autorizado. Se ha observado que los dispositivos SMA 100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad.
Esto se debe a la vulnerabilidad Path Traversal Attack [3]. La vulnerabilidad de ataques Path traversal en SMA100 comparte la funcionalidad que permite a un atacante remoto no autenticado subir archivos arbitrarios a cualquier directorio del dispositivo.
- CVE-2021-20041 (puntuación CVSS: 7,5) - Vulnerabilidad de agotamiento de la CPU sin autenticación en la serie SMA 100.
Una vulnerabilidad de alta gravedad (CVSS 7.5) en los dispositivos SMA 100, que incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un adversario no autenticado y remoto consumir toda la CPU del dispositivo, causando potencialmente una denegación de servicio. Se ha observado que los dispositivos SMA100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad.
El agotamiento de la CPU se debe a las peticiones HTTP falsas enviadas a https://address/fileshare/sonicfiles/sonicfiles`, lo que provoca un bucle infinito en el proceso `fileexplorer`.
- CVE-2021-20042 (puntuación CVSS: 6,3) - Vulnerabilidad de "Confused Deputy" [4] sin autenticación de la serie SMA 100.
Una vulnerabilidad de gravedad media (CVSS 6.3) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado utilizar los dispositivos de la serie SMA 100 como "proxy o intermediario no intencionado" (también conocido como Confused Deputy - véase CWE-441). El atacante externo puede utilizar el SMA 100 como proxy indetectable para saltarse las reglas del firewall. Se ha observado que los dispositivos SMA 100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad.
- CVE-2021-20043 (puntuación CVSS: 8,8) - Vulnerabilidad "getBookmarks" de desbordamiento del búfer basada en heap [5] en la serie SMA 100.
Una vulnerabilidad de gravedad crítica (CVSS 8.8) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto autenticado provocar un desbordamiento del búfer de pila y dar lugar a la ejecución de código como usuario no autorizado en el dispositivo SMA100. Se ha observado que los dispositivos SMA100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad.
Esta vulnerabilidad se debe al método RAC_GET_BOOKMARKS_HTML5 (RacNumber 35) que permite a los usuarios listar sus marcadores. Este método es vulnerable al desbordamiento del búfer de pila, debido al uso no comprobado de strcat. Por lo tanto, un atacante remoto autenticado puede provocar un desbordamiento de búfer basado en heap y daría lugar a la ejecución de código como usuario sin privilegios en el dispositivo SMA100.
- CVE-2021-20044 (puntuación CVSS: 7,2) - Vulnerabilidad de ejecución remota de código (RCE) tras la autenticación en la serie SMA 100.
Una vulnerabilidad de alta gravedad (CVSS 7.2) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante autenticado a distancia ejecutar comandos del sistema sin privilegios, el atacante puede modificar/borrar archivos en el directorio cgi-bin y también puede reiniciar el sistema de forma remota. Se ha observado que los dispositivos SMA100 con WAF licenciado/habilitado también están afectados por esta vulnerabilidad.
Esta vulnerabilidad se debe a una API de gestión expuesta que está escrita en Python Flask. Un atacante remoto autenticado puede ejecutar comandos del sistema como usuario sin privilegios en el dispositivo SMA100.
- CVE-2021-20045 (puntuación CVSS: 9,4) - Vulnerabilidades de desbordamiento del búfer de pila y del explorador de archivos basado en heap no autenticado de la serie SMA 100.
Una vulnerabilidad de gravedad crítica (CVSS 9.4) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado provocar un desbordamiento del búfer de pila y de heap, lo que daría lugar a la ejecución de código como usuario no autenticado en el dispositivo SMA100. Se ha observado que los dispositivos SMA100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad. La explotación potencialmente conducente a la ejecución de código.
Esta vulnerabilidad se debe al método RAC_COPY_TO (RacNumber 36) de sonicfiles, que permite a los usuarios subir archivos a un recurso compartido SMB y puede ser llamado sin ninguna autenticación. El RacNumber 36 de la API de sonicfiles se corresponde con el método upload_file de Python y está asociado al binario filexplorer, que es un programa personalizado escrito en C++ que es vulnerable a una serie de problemas de seguridad de memoria.
RECOMENDACIONES
SonicWall insta a los clientes afectados a implementar los parches aplicables lo antes posible.