Una grave vulnerabilità di sicurezza è stata identificata nei dispositivi SonicWall Secure Mobile Access (SMA) serie 100. Questa vulnerabilità, catalogata come CVE-2024-38475, consente a individui non autorizzati di accedere da remoto a file sensibili memorizzati sui dispositivi interessati senza bisogno di credenziali di accesso. L’exploit riuscito può portare all’esposizione di dati riservati, con la possibilità per gli aggressori di ottenere ulteriore controllo sul sistema o sulla rete protetta. È noto che questa vulnerabilità è attivamente sfruttata in natura.

Riassunto tecnico

CVE-2024-38475 è una vulnerabilità di lettura arbitraria di file pre-autenticazione che colpisce i dispositivi SonicWall SMA serie 100. La causa principale risiede in un difetto sottostante all’interno del modulo mod_rewrite del server Apache HTTP (versioni 2.4.59 e precedenti), utilizzato dai dispositivi SonicWall.

• Tipo di vulnerabilità: Codifica o escaping improprio dell’output in mod_rewrite (CWE-116), che porta alla lettura arbitraria di file.
• Meccanismo: Il modulo mod_rewrite di Apache non riesce a sanificare correttamente l’output quando vengono elaborate specifiche regole di riscrittura (sostituzioni nel contesto del server utilizzando riferimenti o variabili come primo segmento). Un attaccante non autenticato può inviare una richiesta HTTP GET appositamente costruita al dispositivo target. L’URL in questa richiesta è manipolato (ad esempio, TARGET_FILE%3fMALICIOUS_SUFFIX.EXT, dove %3f è un ? codificato in URL) per indurre mod_rewrite a mappare la richiesta su un file arbitrario nel filesystem del server.
  • Ad esempio, una richiesta come GET /tmp/temp.db%3f.1.1.1.1a-1.css può consentire a un attaccante di scaricare il file /tmp/temp.db.
• Impatto: Gli aggressori possono leggere file sensibili, inclusi database di sessione (ad esempio temp.db contenente ID di sessione, token CSRF, nomi utente e campi password), file di configurazione, file di log e potenzialmente codice sorgente delle applicazioni. Questa divulgazione di informazioni può essere sfruttata per ottenere ulteriore accesso non autorizzato o per aumentare i privilegi, potenzialmente portando all’esecuzione di codice remoto (RCE) come parte di un attacco concatenato.

Raccomandazioni

A causa della natura critica e dello sfruttamento attivo di questa vulnerabilità, si raccomanda fortemente di adottare le seguenti misure:

1. Applicare subito le patch: Applica il prima possibile le patch di sicurezza e gli aggiornamenti firmware forniti da SonicWall per i dispositivi SMA serie 100. Fai riferimento agli avvisi di sicurezza SonicWall per le versioni specifiche patchate.
2. Limitare l’accesso: Se non è possibile applicare la patch immediatamente, limita l’accesso di rete all’interfaccia di gestione del dispositivo SMA. Consenti le connessioni solo da indirizzi IP e reti fidati.
3. Monitorare i log: Esamina i log del server web sui dispositivi SMA per rilevare eventuali richieste sospette che corrispondano al pattern dell’exploit (ad esempio, URL contenenti sequenze insolite come %3f seguite da estensioni o stringhe di caratteri inattese).
4. Web Application Firewall (WAF): Come misura di difesa stratificata, considera l’implementazione di regole WAF per bloccare o segnalare le richieste che presentano pattern associati a questo exploit. Tuttavia, ciò non deve sostituire l’applicazione delle patch.