CVE-2020-5135

SonicWall SonicOS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-15

Официальное описание

A buffer overflow vulnerability in SonicOS allows a remote attacker to cause Denial of Service (DoS) and potentially execute arbitrary code by sending a malicious request to the firewall.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость переполнения буфера в веб-интерфейсе управления (HTTP/HTTPS) или службах SonicOS. Удаленный злоумышленник может отправить специально сформированный запрос к IP-адресу интерфейса управления брандмауэра, что приводит к: * Аварийному завершению работы соответствующего процесса и отказу в обслуживании (DoS). * В некоторых сценариях — к выполнению произвольного кода на устройстве.

Как исправить

Установите исправленную версию прошивки SonicOS, соответствующую вашему поколению оборудования и текущей версии.

  1. Определите модель устройства и текущую версию SonicOS.

    • В веб-интерфейсе перейдите в System > Status. Модель и версия ОС указаны в разделе "Product Information".
    • Через CLI выполните команду: bash show version

  2. Загрузите и установите патч. Обновитесь до одной из следующих (или более новых) исправленных версий:

    • SonicOS 6.5: Обновитесь до SonicOS 6.5.4.7-83n или новее.
    • SonicOS 6.2: Обновитесь до SonicOS 6.2.7.12-95n или новее.
    • SonicOS 6.1: Обновитесь до SonicOS 6.1.1.11-4n или новее.
    • SonicOS 6.0: Обновитесь до SonicOS 6.0.5.3-93o или новее.
    • SonicOS 5.9: Обновитесь до SonicOS 5.9.1.13-2o или новее.

    Процедура обновления (через веб-интерфейс): * Скачайте файл прошивки (.sig) с портала MySonicWall. * Перейдите в System > Settings. * В разделе "Firmware Upgrade" нажмите Browse, выберите файл и нажмите Upload. * После загрузки нажмите Restart для применения обновления. Устройство перезагрузится.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к интерфейсам управления.

    • В настройках интерфейсов (Network > Interfaces) убедитесь, что для административных служб (HTTP, HTTPS, SSH) разрешены подключения только с доверенных сетей (опция "Management via").
    • Полностью запретите управление с WAN-интерфейса, если это не требуется.

  2. Используйте VPN для доступа к управлению.

    • Отключите прямой доступ по HTTPS/SSH к интерфейсу управления из интернета.
    • Настройте VPN (например, SSL-VPN или Global VPN) и предоставляйте доступ к веб-интерфейсу только через VPN-туннель.

  3. Настройте правила межсетевого экранирования (Firewall Access Rules).

    • Создайте явные правила, разрешающие доступ к IP-адресу управления брандмауэра только с определенных доверенных IP-адресов/сетей и блокирующие все остальные.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей