CVE-2019-7483

SonicWall SMA100

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-28

Официальное описание

In SonicWall SMA100, an unauthenticated Directory Traversal vulnerability in the handleWAFRedirect CGI allows the user to test for the presence of a file on the server.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2019-7483) в SonicWall SMA100 позволяет неаутентифицированному удаленному злоумышленнику провести атаку типа Directory Traversal через CGI-скрипт handleWAFRedirect.

  • Как это работает: Злоумышленник отправляет специально сформированный HTTP-запрос к уязвимому скрипту, который некорректно обрабатывает входные данные (например, параметры URL).
  • Цель атаки: Используя последовательности вроде ../ (..\ для Windows), атакующий может выйти за пределы предполагаемой директории веб-сервера и проверить наличие или даже прочитать содержимое произвольных файлов на файловой системе сервера (например, /etc/passwd в Linux).
  • Риск: Это позволяет провести разведку системы, получить конфиденциальную информацию (логи, конфигурации) и подготовить почву для дальнейших, более серьезных атак.

Как исправить

Установите официальное обновление прошивки (фирмвар) от SonicWall, которое устраняет эту уязвимость.

  1. Определите текущую версию прошивки:

    • Войдите в веб-интерфейс управления SMA100 (https://<ваш_адрес_SMA>).
    • Перейдите в раздел System > Status.
    • Найдите строку Firmware Version.

  2. Загрузите и установите патч:

    • Перейдите на портал поддержки SonicWall (https://www.sonicwall.com/support/).
    • Найдите и скачайте последнюю стабильную версию прошивки для вашей модели SMA100.
    • Критически важные версии, исправляющие CVE-2019-7483:
      • Для SMA100 версии 9.0.0.0 и выше.
    • В веб-интерфейсе SMA100 перейдите в System > Settings.
    • В разделе Firmware & Licenses нажмите Upload и выберите скачанный файл прошивки.
    • Запустите процесс обновления. ВАЖНО: Устройство перезагрузится, что вызовет кратковременный перерыв в работе сервиса.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к уязвимому компоненту.

  1. Ограничьте сетевой доступ по IP:

    • Настройте правила брандмауэра на самом SMA100 или на вышестоящем сетевом оборудовании, чтобы разрешить доступ к веб-интерфейсу управления (порты 80/443/TCP) только с доверенных IP-адресов (например, из сети администраторов). Это блокирует атаки из интернета.

  2. Используйте WAF (Web Application Firewall):

    • Разверните или настройте WAF (например, ModSecurity) перед SMA100.
    • Добавьте правило для блокировки запросов, содержащих последовательности для обхода директорий (../, ..\, %2e%2e%2f и т.д.) в URI или теле запроса к пути /cgi-bin/handleWAFRedirect.

    Пример правила для ModSecurity (CRS): apache SecRule REQUEST_URI|REQUEST_BODY "@contains ../" \ "id:1000197483,\ phase:2,\ deny,\ status:403,\ msg:'Directory Traversal Attack Attempt (CVE-2019-7483)',\ tag:'attack-generic'"

  3. Минимизация (если поддерживается):

    • Проверьте настройки SMA100 на наличие опции, позволяющей отключить неиспользуемые сервисы или CGI-скрипты. Если handleWAFRedirect не используется в вашей конфигурации, рассмотрите возможность его отключения через консоль управления (CLI) или файл конфигурации (требует углубленного знания платформы и может повлиять на функциональность).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей