Kritične ranjivosti u SonicWall GMS i Analytics sustavima

Dana 12. srpnja 2023., SonicWall je izdao hitnu sigurnosnu obavijest u vezi skupa ranjivosti, od kojih je četiri vezano na SonicWall GMS i Analytics sustave te ocijenjeno kao kritično.

• CVE-2023-34124: Ova ranjivost s CVSS ocjenom 9.4 od 10 mogla bi omogućiti neovlaštenom udaljenom napadaču zaobilaženje mehanizama web usluga za autentifikaciju.
• CVE-2023-34133: Ova ranjivost s CVSS ocjenom 9.8 od 10 mogla bi omogućiti neovlašteni udaljeni napad ubacivanja SQL izraza i zaobilaženje sigurnosnih filtara zbog nepravilnog neutraliziranja posebnih elemenata korištenih u SQL naredbi.
• CVE-2023-34134: Ova ranjivost s CVSS ocjenom 9.8 od 10 mogla bi omogućiti udaljenom napadaču čitanje hash-ova zaporki putem web usluga.
• CVE-2023-34137: Ova ranjivost s CVSS ocjenom 9.4 od 10 mogla bi omogućiti neovlaštenom udaljenom napadaču zaobilaženje CAS mehanizama za autentifikaciju.
• CVE-2023-34123: Ova ranjivost s CVSS ocjenom 7.5 od 10 mogla bi omogućiti udaljenom napadaču predviđanje ključa za resetiranje lozinke zbog korištenja hardkodiranih kriptografskih ključeva.
• CVE-2023-34126: Ova ranjivost s CVSS ocjenom 7.1 od 10 mogla bi omogućiti ovlaštenom udaljenom napadaču da prenese proizvoljne datoteke zbog nedovoljnih provjera.
• CVE-2023-34127: Ova ranjivost s CVSS ocjenom 8.8 od 10 mogla bi omogućiti ovlaštenom udaljenom napadaču izvršavanje proizvoljnih naredbi zbog nepravilnog neutraliziranja posebnih elemenata korištenih u naredbi operacijskog sustava.
• CVE-2023-34129: Ova ranjivost s CVSS ocjenom 7.1 od 10 mogla bi omogućiti ovlaštenom udaljenom napadaču pisanje proizvoljnih datoteka putem web usluga zbog nepravilnih ograničenja putanje do ograničenog direktorija.

• GMS 9.3.2 - SP1 i starije
• Analytics 2.5.0.4 - R7 i starije

• https://www.sonicwall.com/support/knowledge-base/urgent-security-notice-sonicwall-gms-analytics-impacted-by-suite-of-vulnerabilities/230710150218060/

[inicijalna obavijest 14.7.2023 - 15:57]