[English]SonicWall hat zum 2. März 2023 eine Sicherheitswarnung SNWLID-2023-0004 herausgegeben. Verschiedene Applicances sind von der kritischen Sicherheitslücke CVE-2023-0656 bedroht. Eine stapelbasierte Pufferüberlaufschwachstelle in SonicOS ermöglicht es einem nicht authentifizierten Angreifer remote einen Denial of Service (DoS) auszulösen, der eine betroffene Firewall zum Absturz bringen kann.
Anzeige
Blog-Leser Adrian hat mich auf Mastodon über diese Schwachstelle, die mit einem CVSS von 7.5 (High) eingestuft wurde, hingewiesen (danke dafür). Von der Stack-basierenden Pufferüberlaufschwachstell , die einem Remote-Angreifer ohne Authentifizierung einen Denial of Service (DoS)-Angriff ermöglicht und eine betroffene Firewall zum Absturz bringen kann, sind folgende Produkte betroffen.
| Impacted Platforms | Impacted Version |
| SonicWall FireWalls TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSsp 11700, NSsp 13700, NSv 270, NSv 470, NSv 870 |
7.0.1-5095 and earlier versions |
| SonicWall NSsp Firewall NSsp 15700 | 7.0.1-5083 and earlier versions |
| SonicWall NSv FireWalls NSv 10, NSv 25, NSv 50, NSv 100, NSv 200, NSv 300, NSv 400, NSv 800, NSv 1600 |
6.5.4.4-44v-21-1551 and earlier versions |
Die obige Sicherheitslücke betrifft nur die Webverwaltungsschnittstelle, die SonicOS SSLVPN-Schnittstelle ist nicht betroffen. Die SonicWall Gen6 und Gen 6.5 Firewalls sind von dieser Schwachstelle wohl nicht betroffen. Dem Hersteller ist nicht bekannt, dass die Schwachstelle aktiv ausgenutzt wird. Es wurden keine Berichte über einen PoC veröffentlicht und die böswillige Nutzung dieser Schwachstelle wurde SonicWall nicht gemeldet.
SonicWall rät Unternehmen, die die oben aufgeführten betroffenen SonicWall-Firewalls verwenden, dringend, die bereitgestellten Hinweise zu befolgen.
- Bis die bereitgestellten Patches angewendet werden können, empfiehlt SonicWall PSIRT dringend, dass Administratoren den SonicOS-Verwaltungszugriff auf vertrauenswürdige Quellen beschränken (und/oder den Verwaltungszugriff von nicht vertrauenswürdigen Internetquellen deaktivieren), indem sie die bestehenden SonicOS-Verwaltungszugriffsregeln (SSH/HTTPS/HTTP-Verwaltung) ändern. Dadurch wird der Verwaltungszugriff nur von vertrauenswürdigen IP-Adressen zugelassen.
- Die Liste der verfügbaren Patches für die einzelnen Produkte findet sich auf dieser Webseite.
In SonicOS 7.0.1-5111 und höher ist die Schwachstelle für bestimmte Produkte geschlossen. Für die SonicWall NSsp Firewall NSsp 15700 sollte der Support kontaktiert werden. Für SonicOS 6.5.4.4-44v-21-1551 und früher gibt es noch kein Sicherheitsupdate.
2015
Gestern die Info bekommen als "dringend patchen".
Leider darf man aber nicht einfach irgendwas abschalten in Deutschland, um einen Patch einzuspielen. Dabei fallen ja wichtige Dienste aus.
Da muss erst noch der Chef zustimmen und der hat leider Wichtigeres zu tun. Aber natürlich exklusiv das Recht, Abschaltung zu genehmigen.
Also, sagen wir jetzt mal ein beliebiger Chef und in meinem Fall gibt es mysteriöse Umstände, warum nicht gepatcht werden kann. *räusper*
Woanders droht einem dann nur die Wut des Chefs, der aus seiner Videokonferenz fliegt, in Deutschland droht der § 303b gleich noch mit 5 Jahren Haft. In Behörden.
Sorry für den Rant, aber die desaströsen Arbeitsbedingungen in der IT, insbesondere in Behörden, zementiert in zerstörerischen Gesetzen umd durch desaströse Urteile gegen reguläre Admins, statt Hacker, sind viel schlimmer als jede Sicherheitslücke.
Die man, wie hier, in Windeseile vor Ausnutzung hätte patchen können.
Statt sich zu fragen: "mach ich mich jetzt lieber strafbar und die Lücke ist gefixt? Oder bleibe ich gesetzestreu und fliege dann raus, weil das Netzwerk weggeputzt wird und das eh immer auf die IT zurück fällt?"
"Irgendwas mit Blumen" als Vorstellung für die berufliche Zukunft von ITlern kommt wohl nicht von ungefähr.
Und wird für mich langsam zur Leitlinie einer baldigen beruflichen Neuorientierung. Oder als Teil eines vorvorzeitigen Ruhestands.
Das kann man sich alles einfach kaum noch antun.
Schönes Wochenende
Kann das nachvollziehen. Bei mir im Betrieb ähnlich.
Bin da mittlerweile Schmerzfrei, nachdem ich in einem Jour-Fix mich mit mehreren Abteilungsleitern angelegt habe und mir da sehr viele Feinde gemacht hab, steht unser Geschäftsführer nun aber hinter mir. Wenns der Sicherheit dient und der Geschäftsbetrieb nicht nachhaltig (Sprich für mehrere Stunden) dadurch beeinflusst wird, wirds auch untertags durchgeführt. Da IT eh immer an der letzten stelle bei Investitionen steht, es aber zwingend notwendig ist um heutzutage zu überleben, muss man nur entsprechend argumentieren.
Ja ebenso hier. Mal ordentlich auf den Tisch geklopft und nun werden solche Dinge durchgezogen ohne wenn und aber. Ich hatte es satt immer der Buhmann zu sein, nur weil andere nicht in die Pötte kommen
"Sorry für den Rant, aber die desaströsen Arbeitsbedingungen in der IT, insbesondere in Behörden, zementiert in zerstörerischen Gesetzen umd durch desaströse Urteile gegen reguläre Admins, statt Hacker, sind viel schlimmer als jede Sicherheitslücke."
Mich würde dazu interessieren:
– Wie viele dieser Urteile gibt es im Jahr? Und wie ist die Entwicklung seit der Einführung dieses Paragrafen?
– Haben Sie konkrete Beispiele mit Quellen?
Vor allem: Welche "desaströse Urteile gegen reguläre Admins" sind dem Autor bekannt?
Zum Beispiel Bundesgerichtshof, Beschluss vom 13. Mai 2020, Az. 5 StR 614/19 zum 202a.
Diverse Beschlüsse der Arbeitsgerichte.
Betroffen auch Leute, die ich kenne. Erst so lange Druck machen, dass diese eine wichtige Mail aber gebraucht wird, der Dussel knickt ein und plötzlich droht dir die Strafverfolgung, weil du das Toben deines Chefs hinterher nicht nachweisen kannst.
Die perfekte Kündigungsmaschine, mit Aussicht auf Knast.
Ich habe "Bundesgerichtshof, Beschluss vom 13. Mai 2020, Az. 5 StR 614/19 zum 202a."
https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=106851&pos=0&anz=1
quer gelesen.
Was hat das mit Urteilen "wegen nicht erfolgten Updates" zu tun?
Hier wurde jemand verurteilt, der E-Mails auf CDs an einen Externen verkauft hat. Inhaltlich relevant, aus meiner Sicht, wäre ein Verfahren gegen den in Abschnitt 8 Aufgeführten "leitende Systemadministrator des Ministeriums, der Zeuge P.". Es fehlte wenn an organisatorischen und technischen Maßnahmen um unbegründete Zugriffe zu erfassen und zu verfolgen. Wenn ich das richtig verstehe, hat das fast 3 Jahre(!?!?) lang statt gefunden. Hier hatte jemand kriminelle Energie und es war ein Interner.
Oder habe ich das nicht korrekt verstanden oder übersehe ich etwas?
Mal etwas zur Sache….
Das Update 7.0.1-5111-R4251 wurde auf einen Cluster NSA2700 Problemlos installiert.
Danke für die gute Information.