Alcuni ricercatori di Bishop Fox impegnati nel contesto della cybersecurity hanno scoperto un potenziale rischio per oltre 178.000 firewall SonicWall sparsi in tutto il mondo.

Nello specifico, l’interfaccia di gestione degli stessi è risultata vulnerabile ad attacchi DoS (Denial of Service) e potenzialmente anche a RCE (Remote Code Execution). Gli exploit incriminati sono noti con i codici CVE-2022-22274 e CVE-2023-0656.

Jon Williams, Senior Security Engineer di Bishop Fox, ha spiegato come i ricercatori hanno analizzato i firewall, scansionando le interfacce esposte ad Internet e scoprendo che circa il 76% è potenzialmente vulnerabile ai suddetti attacchi.

Per Williams “La nostra ricerca iniziale ha confermato l’affermazione del produttore secondo cui non era disponibile alcun exploit; tuttavia, una volta identificato il codice vulnerabile, abbiamo scoperto che si trattava dello stesso problema annunciato un anno dopo come CVE-2023-0656“.

Firewall SonicWall a rischio anche in Italia

Lo stesso si è poi espresso anche relativamente all’altra vulnerabilità “Abbiamo scoperto che CVE-2022-22274 era causato dallo stesso modello di codice vulnerabile in un posto diverso e l’exploit ha funzionato contro tre percorsi URI aggiuntivi“.

La situazione risulta alquanto inquietante, visto numero e distribuzione dei firewall SonicWall potenzialmente soggetti agli attacchi. La maggior parte di essi si trova nel territorio statunitense ma, di fatto questi dispostivi sono presenti un po’ in tutto il mondo. Anche in Italia, a quanto pare, se ne contano circa 9.000.

​Sebbene il SonicWall Product Security Incident Response Team (PSIRT) affermi di non essere a conoscenza del fatto che queste vulnerabilità siano state sfruttate attivamente da hacker, almeno un exploit proof-of-concept (PoC) è disponibile online per CVE-2022-22274.

Per lo stesso Williams, la situazione non è da prendere sottogamba “SSD Labs ha pubblicato un resoconto tecnico del bug con una prova di concetto, annotando due percorsi URI in cui il bug potrebbe essere attivato“.