SonicWall确认积极利用影响多个设备型号的缺陷

SonicWall透露，影响其SMA100安全移动访问（SMA）设备的两个现已修补的安全漏洞在野外被利用。

以下列出了相关漏洞-

• CVE-2023-44221（CVSS得分：7.2）-SMA100 SSL-VPN管理界面中特殊元素的中和不当允许具有管理权限的远程身份验证攻击者以“无人”用户身份注入任意命令，从而导致操作系统命令注入漏洞
• CVE-2024-38475（CVSS分数：9.8）-Apache HTTP服务器2.4.59及更早版本中mod_rewrite中的输出逃逸不当，允许攻击者将URL映射到服务器允许服务的文件系统位置

这两个缺陷都影响了SMA 100系列设备，包括SMA 200、210、400、410、500v，并在以下版本中得到了解决-

• CVE-2023-44221 – 10.2.1.10-62sv及更高版本（2023年12月4日修复）
• CVE-2024-38475 – 10.2.1.14-75sv及更高版本（固定于2024年12月4日）

在2025年4月29日的公告更新中，SonicWall表示，这些漏洞可能会在野外被利用，并敦促客户审查他们的SMA设备，以确保没有未经授权的登录。

该公司表示，在进一步分析中，SonicWall和值得信赖的安全合作伙伴确定了使用CVE-2024-38475的额外利用技术，通过该技术，未经授权访问某些文件可能会引发会话劫持。

目前没有关于漏洞如何被利用、谁可能成为目标以及这些攻击的范围和规模的细节。

披露是在美国几周后披露的。网络安全和基础设施安全域性（CISA）根据主动利用的证据，在其已知利用漏洞（KEV）目录中增加了另一个影响SonicWall SMA 100系列网关（CVE-2021-20035，CVSS得分：7.2）的安全漏洞。

PoC可用

美国网络安全和基础设施安全局（CISA）于2025年5月1日将这两个缺陷添加到其已知被利用的漏洞（KEV）目录中，并授權联邦机构在2025年5月22日之前应用补丁。

网络安全公司watchTowr Labs发布了这两个漏洞的更多技术细节，指出CVE-2024-38475是Apache HTTP服务器中存在的缺陷，如何使用CVE-2024-38475来绕过身份验证并获得对易受攻击的SonicWall SMA设备的管理控制权。

另一方面，CVE-2023-44221被描述为影响SonicWall SMA管理界面的诊断菜单的身份验证后命令注入漏洞。

这也意味着这两个缺点可能被威胁者串连在一起，以泄露当前登录的管理员会话令牌并执行任意命令。漏洞链的概念验证（PoC）可以在这里访问。

watchTowr首席执行官Benjamin Harris在一份声明中表示，“不幸的是，这些漏洞的野外利用已经持续了一段时间，攻击者成功利用设备来访问极其敏感的组织。”

“这些是相对微不足道的漏洞。CVE-2024-38475是开源Apache HTTP网络服务器中的一个漏洞，它是一个mod_rewrite模块，而CVE-2023-44221是一个简单的命令注入缺陷，在任何企业级解决方案中都令人失望。”

（该故事在发布后已更新，以包括PoC漏洞的详细信息。）

消息来源：the hacker news, 编译：安全114； 

本文由 anquan114.com 翻译整理，封面来源于网络；  

转载请注明“转自 anquan114.com”并附上原文