Kritične ranjivosti u SonicWall GMS i Analytics sustavima

Dana 12. srpnja 2023., SonicWall je izdao hitnu sigurnosnu obavijest u vezi skupa ranjivosti, od kojih je četiri vezano na SonicWall GMS i Analytics sustave te ocijenjeno kao kritično.
Preporučuje se, bez odgode, žurno ažuriranje zahvaćenih proizvoda na najnovije dostupne verzije.
 
Tehnički detalji ključnih ranjivosti:
  • CVE-2023-34124: Ova ranjivost s CVSS ocjenom 9.4 od 10 mogla bi omogućiti neovlaštenom udaljenom napadaču zaobilaženje mehanizama web usluga za autentifikaciju.
  • CVE-2023-34133: Ova ranjivost s CVSS ocjenom 9.8 od 10 mogla bi omogućiti neovlašteni udaljeni napad ubacivanja SQL izraza i zaobilaženje sigurnosnih filtara zbog nepravilnog neutraliziranja posebnih elemenata korištenih u SQL naredbi.
  • CVE-2023-34134: Ova ranjivost s CVSS ocjenom 9.8 od 10 mogla bi omogućiti udaljenom napadaču čitanje hash-ova zaporki putem web usluga.
  • CVE-2023-34137: Ova ranjivost s CVSS ocjenom 9.4 od 10 mogla bi omogućiti neovlaštenom udaljenom napadaču zaobilaženje CAS mehanizama za autentifikaciju.
  • CVE-2023-34123: Ova ranjivost s CVSS ocjenom 7.5 od 10 mogla bi omogućiti udaljenom napadaču predviđanje ključa za resetiranje lozinke zbog korištenja hardkodiranih kriptografskih ključeva.
  • CVE-2023-34126: Ova ranjivost s CVSS ocjenom 7.1 od 10 mogla bi omogućiti ovlaštenom udaljenom napadaču da prenese proizvoljne datoteke zbog nedovoljnih provjera.
  • CVE-2023-34127: Ova ranjivost s CVSS ocjenom 8.8 od 10 mogla bi omogućiti ovlaštenom udaljenom napadaču izvršavanje proizvoljnih naredbi zbog nepravilnog neutraliziranja posebnih elemenata korištenih u naredbi operacijskog sustava.
  • CVE-2023-34129: Ova ranjivost s CVSS ocjenom 7.1 od 10 mogla bi omogućiti ovlaštenom udaljenom napadaču pisanje proizvoljnih datoteka putem web usluga zbog nepravilnih ograničenja putanje do ograničenog direktorija.
Zahvaćeni proizvodi:
  • GMS 9.3.2 - SP1 i starije
  • Analytics 2.5.0.4 - R7 i starije
Preporuke:
Žurno ažuriranje zahvaćenih proizvoda na najnovije dostupne verzije - u trenutnu pisanja članka SonicWall GMS (v9.3.3) i Analytics (2.5.2).
 
Više informacija moguće je pročitati na sljedećoj poveznici:

[inicijalna obavijest 14.7.2023 - 15:57]