【安全通报】SonicWall SSL-VPN 远程命令执行漏洞

花屋敷  523天前

微信图片_20210126173603.png

SonicWALL 的SSL VPN NetExtender 功能是一种用于Windows、Mac 和Linux 用户的透明软件应用程序,支持远程用户安全连接到远程网络。 利用NetExtender,远程用户可以安全地在远程网络上运行任何应用程序。 用户可以上传下载文件,安全网络驱动器,访问资源,如同在本地网络上一样。

SonicWall SSL-VPN 历史版本中存在漏洞,远程攻击者利用 CGI 程序处理逻辑漏洞,构造恶意的User-Agent,可造成远程任意命令执行,并获得主机控制权限。目前互联网上已经公开了获取 nobody 用户权限的攻击代码,建议相关用户尽快采取安全措施阻止漏洞攻击。

SonicWall在Twitter中回应该漏洞早于2015年修复,但近期 darrenmart 在 darrenmartyn 中公布关于该漏洞利用细节。

影响范围

  • Sonic SMA < 8.0.0.4

根据目前FOFA系统最新数据(一年内数据),显示全球范围内((body="login_box_sonicwall" || header="SonicWALL SSL-VPN Web Server") && body="SSL-VPN")共有 14,615 个相关服务对外开放。美国使用数量最多,共有 6,658 个;日本第二,共有 1,394 个;英国第三,共有 1,139 个;德国第四,共有 943 个;法国第五,共有 589 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20210126170143117.png

中国大陆地区上海使用数量最多,共有 69 个;江苏第二,共有 24 个;广东第三,共有 20 个;北京第四,共有 9 个;福建第五,共有 6 个。

image-20210126170200093.png

漏洞POC

目前 FOFA 客户端平台已经更新检测POC。

image-20210126165806973.png

修复建议

  1. 升级 Sonic SMA 至最新版本8.0.0.4。

  2. 针对 http header 进行检测,可能存在的特征字符串如下 () { :; }; 使用 nginx 反向代理对 header 进行强制过滤。

    location  /cgi-bin/jarrewrite.sh {
        proxy_pass http://your-ssl-vpn:your-ssl-vpn-port$request_uri;
        proxy_set_header host $http_host;
        proxy_set_header user-agent "sonicwall ssl-vpn rec fix";
    }
    

参考

[1] https://github.com/EdgeSecurityTeam/Vulnerability/blob/main/SonicWall%20SSL-VPN%20%E6%9C%AA%E6%8E%88%E6%9D%83RCE%E6%BC%8F%E6%B4%9E.md

[2] https://mp.weixin.qq.com/s/97T-GLVGpH72MIJcplmGCQ

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论