Eine schwerwiegende Sicherheitslücke wurde in den SonicWall Secure Mobile Access (SMA) Geräten der 100er-Serie identifiziert. Diese Schwachstelle, katalogisiert als CVE-2024-38475, ermöglicht es unbefugten Personen, ohne Anmeldedaten remote auf sensible Dateien zuzugreifen, die auf den betroffenen Geräten gespeichert sind. Ein erfolgreicher Exploit kann zur Offenlegung vertraulicher Daten führen, wobei Angreifer potenziell weitere Kontrolle über das System oder das geschützte Netzwerk erlangen können. Es ist bekannt, dass diese Schwachstelle aktiv ausgenutzt wird.

Produkt	SonicWall SMA
Datum	28.05.2025 13:17:37
Informationen	Fix verfügbar Aktive Ausnutzung

Technische Zusammenfassung

CVE-2024-38475 ist eine Schwachstelle für das willkürliche Lesen von Dateien vor der Authentifizierung, die SonicWall SMA-Geräte der 100er-Serie betrifft. Die Grundursache liegt in einem zugrunde liegenden Defekt innerhalb des mod_rewrite-Moduls des Apache HTTP-Servers (Versionen 2.4.59 und früher), der von den SonicWall-Geräten verwendet wird.

• Art der Schwachstelle: Unsachgemäße Kodierung oder Maskierung der Ausgabe in mod_rewrite (CWE-116), was zum willkürlichen Lesen von Dateien führt.
• Mechanismus: Das Apache-Modul mod_rewrite versäumt es, die Ausgabe bei der Verarbeitung spezifischer Rewrite-Regeln (Ersetzungen im Serverkontext unter Verwendung von Referenzen oder Variablen als erstes Segment) korrekt zu bereinigen. Ein nicht authentifizierter Angreifer kann eine speziell konstruierte HTTP-GET-Anfrage an das Zielgerät senden. Die URL in dieser Anfrage wird manipuliert (z. B. TARGET_FILE%3fMALICIOUS_SUFFIX.EXT, wobei %3f ein URL-kodiertes ? ist), um mod_rewrite dazu zu bringen, die Anfrage auf eine beliebige Datei im Dateisystem des Servers abzubilden.
  • Zum Beispiel kann eine Anfrage wie GET /tmp/temp.db%3f.1.1.1.1a-1.css es einem Angreifer ermöglichen, die Datei /tmp/temp.db herunterzuladen.

• Auswirkung: Angreifer können sensible Dateien lesen, einschließlich Sitzungsdatenbanken (z. B. temp.db, die Sitzungs-IDs, CSRF-Token, Benutzernamen und Passwortfelder enthält), Konfigurationsdateien, Logdateien und potenziell den Quellcode von Anwendungen. Diese Offenlegung von Informationen kann ausgenutzt werden, um weiteren unbefugten Zugriff zu erlangen oder Privilegien zu eskalieren, was im Rahmen eines verketteten Angriffs potenziell zur Remote Code Execution (RCE) führen kann.

Empfehlungen

Aufgrund der kritischen Natur und der aktiven Ausnutzung dieser Schwachstelle wird dringend empfohlen, die folgenden Maßnahmen zu ergreifen:

1. Sofortige Patch-Anwendung: Installieren Sie so schnell wie möglich die von SonicWall bereitgestellten Sicherheitspatches und Firmware-Updates für die SMA-Geräte der 100er-Serie. Beachten Sie die Sicherheitshinweise von SonicWall für die spezifischen gepatchten Versionen.
2. Zugriff einschränken: Wenn der Patch nicht sofort angewendet werden kann, beschränken Sie den Netzwerkzugriff auf die Verwaltungsschnittstelle des SMA-Geräts. Erlauben Sie Verbindungen nur von vertrauenswürdigen IP-Adressen und Netzwerken.
3. Logs überwachen: Überprüfen Sie die Webserver-Logs auf den SMA-Geräten auf verdächtige Anfragen, die dem Exploit-Muster entsprechen (z. B. URLs, die ungewöhnliche Sequenzen wie %3f gefolgt von unerwarteten Erweiterungen oder Zeichenfolgen enthalten).
4. Web Application Firewall (WAF): Als mehrschichtige Verteidigungsmaßnahme sollten Sie die Implementierung von WAF-Regeln in Betracht ziehen, um Anfragen zu blockieren oder zu melden, die Muster aufweisen, die mit diesem Exploit verbunden sind. Dies sollte jedoch nicht das Einspielen der Patches ersetzen.

[Callforaction-THREAT-Footer]