SonicWall修补防火墙重大漏洞

安全厂商SonicWall本周发布安全公告,以修补可能让攻击者执行恶意程序代码的漏洞,多款防火墙产品受到影响。

编号CVE-2022-22274的漏洞是存在SonicOS中的堆栈内存缓冲溢出(stack-based buffer overflow)漏洞。远程攻击者可通过发出HTTP调用开采,对防火墙设备发动拒绝服务(denial of service)攻击,或是在设备上执行程序代码。该漏洞被列为CVSS 3.1风险值9.4。

受影响的软件包括7.0.1-505、7.0.1-R579、6.5.4.4-44v-21-1452及之前版本。30多款产品受影响;包括TZ系列的TZ270、TZ270W、TZ370、TZ370W、TZ470、TZ470W、TZ570、TZ570W、TZ570P、TZ670,NS系列的NSa 2700、NSa 3700、NSa 4700、NSa 5700、NSa 6700、NSsp 10700、NSsp 11700、NSsp 13700、NSv 270、NSv 470、NSv 870(7.0.1-505版软件以前版本)。NSsp 15700(7.0.1-R579以前版本)及NSv 10、NSv 25、NSv 50、NSv 100、NSv 200、NSv 300、NSv 400、NSv 800、NSv 1600(6.5.4.4-44v-21-1452以前版本)。

SonicWall表示尚未发现有针对性攻击、公开的概念验证程序或恶意开采行动。SonicWall已发布新版软件,呼吁用户尽快升级防火墙软件到最新版本。若用户无法立即更新,SonicWall建议管理员修改访问规则,仅允许受信赖人员及程序访问SonicOS。

发表评论