Tag: sonicwall

Łatka na urządzenia dostępna jest od grudnia 2021 r. – a niedawno opublikowano dość szczegółowy write-up dotyczący załatanej podatności: On December 7, 2021, SonicWall released new firmware for their Secure Mobile Access (SMA) 100 series. SonicWall issued a security advisory on January 11, 2022 notifying users that the December releases…

O enigmatycznych atakach na urządzenia SonicWalla pisaliśmy niedawno. 3 lutego wreszcie przygotowano patcha na 0-daya. Z nieco mglistego opisu widać, że mamy prawdopodobnie do czynienia z podatnością SQL injection, nie wymaga ona też uwierzytelnienia. Na koniec można wykonywać kod na atakowanej maszynie: A vulnerability resulting in improper SQL command neutralization…

Podatność umożliwia potencjalnie nawet RCE (wykonanie kodu na urządzeniu) i to bez uwierzytelnienia. W opisie mowa jest również o DoS-ie. Winowajca jest “jak zwykle” panel webowy zarządzający urządzeniami: The vulnerability exists within the HTTP/HTTPS service used for product management as well as SSL VPN remote access. Informacje od producenta dostępne…