CVE-2021-20038|SonicWall VPN中的SMA 100 RCE漏洞

CVE-2021-20038|SonicWall VPN中的SMA 100 RCE漏洞

漏洞描述

SMA100 Apache httpd 服务器的 mod_cgi 模块环境变量中的基于堆栈的缓冲区溢出漏洞允许未经身份验证的远程攻击者潜在地以设备中的“nobody”用户身份执行代码。此漏洞影响 SMA 200、210、400、410 和 500v 设备固件 10.2.0.8-37sv、10.2.1.1-19sv、10.2.1.2-24sv 和更早版本。

SMA 100 设备(包括 SMA 200、210、400、410 和 500v)中的一个严重漏洞 (CVSS 9.8) 可能使未经身份验证的远程攻击者能够导致基于堆栈的缓冲区溢出,这可能会导致设备中的恶意代码执行。还注意到启用/许可 WAF 的 SMA 100 用户也受到此漏洞的影响。该漏洞是由于 `cgi_build_command` 方法将所有环境变量附加到单个堆栈上。这种方法容易受到基于堆栈的缓冲区溢出的影响。没有证据表明此漏洞正在被广泛利用。SonicWall 强烈敦促组织遵循以下指南来修补 SMA 100 系列产品,包括 SMA 200、210、400、410 和 500v。

CVE-2021-20038|SonicWall VPN中的SMA 100 RCE漏洞

漏洞详情

描述SMA100 Apache httpd 服务器的 mod_cgi 模块环境变量中的基于堆栈的缓冲区溢出漏洞允许未经身份验证的远程攻击者潜在地以设备中的“nobody”用户身份执行代码。此漏洞影响 SMA 200、210、400、410 和 500v 设备固件 10.2.0.8-37sv、10.2.1.1-19sv、10.2.1.2-24sv 和更早版本。
状态公开
问题类型CWE-121:基于堆栈的缓冲区溢出
供应商、产品和版本供应商:SonicWall产品:SonicWall SMA100受影响的版本:10.2.0.8-37sv 及更早版本10.2.1.1-19sv 及更早版本10.2.1.2-24sv 及更早版本
参考https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026查看有关CVE-2021-20038 的其他信息 在 NVD 上。(注意:NVD 不是由 CVE 程序操作的)

SonicWall 修补了其 Secure Mobile Access 100 产品线中的八个漏洞。尚未有人在野外利用,但强烈敦促用户修补。

背景

12 月 7 日,SonicWall 发布了针对其安全移动访问 (SMA) 100远程访问网关产品线中的八个 CVE的咨询 (SNWLID-2021-0026)。作为咨询的一部分,SonicWall“强烈敦促”其客户修补 SMA 200、210、400、410 和 500v 产品中的这些漏洞,以及启用 Web 应用程序防火墙 (WAF) 的 SMA 100 系列设备。

CVE描述CVSSv3
CVE-2021-20038未经身份验证的基于堆栈的缓冲区溢出9.8
CVE-2021-20039授权命令注入7.2
CVE-2021-20040未经认证的文件上传路径遍历6.5
CVE-2021-20041未经身份验证的 CPU 耗尽7.5
CVE-2021-20042未经身份验证的混淆副手6.3
CVE-2021-20043基于堆的缓冲区溢出8.8
CVE-2021-20044认证后远程代码执行7.2
CVE-2021-20045多个未经身份验证的基于堆和堆栈的缓冲区溢出9.4

虽然目前没有证据表明这些漏洞已被广泛利用,但 SonicWall SMA 设备过去一直是威胁行为者的目标。1 月,“高度复杂的威胁参与者”利用了CVE-2021-20016,这是 SMA100 设备中的一个关键 SQL 注入漏洞。7 月,SonicWall警告即将发生勒索软件攻击,利用 SMA 100 产品中已知的已修补漏洞。网络安全和基础设施安全局也发布有关此活动的警报,确认了主动攻击。后来有报道称,该活动中利用的已知缺陷是CVE-2019-7481

分析

这些缺陷中最严重的是一组未经身份验证的基于堆和堆栈的缓冲区溢出漏洞。CVE-2021-20038涵盖单个漏洞并获得 9.8 的 CVSSv3 分数,而CVE-2021-20045涵盖多个漏洞,该软件包以 9.4 的 CVSSv3 分数获得。CVE-2021-20038 是在处理来自 SMA SSLVPN Apache httpd 服务器中使用的 HTTP GET 方法的环境变量时使用 strcat() 函数的结果。CVE-2021-20043也是一个基于堆的缓冲区溢出,它的 CVSSv3 得分为 8.8,但它需要身份验证才能利用。对于所有这三个 CVE,成功利用将导致作为 SMA100 设备中的“nobody”用户执行代码。

其余缺陷包括经过身份验证和未经身份验证的漏洞,严重程度从 CVSSv3 6.3 到 7.5。启用了 Web 应用程序防火墙的设备仍然容易受到这些缺陷的影响。这些漏洞的发现归功于Rapid7 的Jacob Baines和 NCCGroup 的Richard Warren

POC

在发布时,尚未针对任何这些漏洞发布概念证明。

解决方案

SonicWall 强烈敦促用户更新这些设备。该公告包括受影响固件版本和已修复固件版本的指南。

受影响的产品受影响的版本修复版本
SMA 100 系列:SMA 200、210、400、410、500v9.0.0.11-31sv* 及更早版本、10.2.0.8-37sv、10.2.1.1-19sv、10.2.1.2-24sv 及更早版本10.2.0.9-41sv、10.2.1.3-27sv

识别受影响的系统

用于识别这些漏洞的 Tenable 插件列表将在发布时显示在此处

IDNameProductFamilyPublishedUpdatedSeverity
155961SonicWall Secure Mobile Access Multiple Vulnerabilities (SNWLID-2021-0026)NessusCGI abuses12/9/202112/10/2021严重

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注