Threat Response - Vulnerability in SonicOS
On 22 August 2024, SonicWall warned[1] about a critical vulnerability CVE-2024-40766 in the SonicOS operating system, used in their line of network security products. This issue affects SonicWall Firewall Gen 5 and Gen 6 devices, as well as Gen 7 devices running SonicOS 7.0.1-5035 or older versions. The vulnerability receives a CVSS v3 score of 9.3. Northwave's Computer Emergency Response Team (NW-CERT) as well as other incident response organisations have already observed exploitation of this vulnerability in recent (ransomware) incidents. We're sending you this Threat Response because this vulnerability requires immediate action if you run affected SonicWall products.
Description
SonicOS is the operating system used in the SonicWall line of network security products. The vulnerability resides in the management and is related to improper access control in the appliance.
Depending on the generation of the product the following versions are fixed for this vulnerability:
Generation
|
Devices
|
Fixed version
|
5
|
SOHO
|
5.9.2.14-13o
|
6
|
SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650,
NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250,
SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W
|
6.5.2.8-2n (for SM9800, NSsp 12400, NSsp 12800)
6.5.4.15.116n (for other Gen6 Firewall appliances)
|
7
|
TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W,
TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700
|
>7.0.1-5035, reported as not reproducible in 7.0.1-5035 by SonicWall, but SonicWall still recommends upgrading beyond.
|
Impact
We estimate the impact of these vulnerabilities as HIGH because the successful exploitation of these vulnerabilities could result in unauthorised access to a security device. This unauthorised access can result in an attacker manipulating or accessing your network traffic, or can serve as a stepping stone for an attacker to other systems.
Risk
We estimate the risk of these vulnerabilities as HIGH, as there are reports of active exploitation of one of the vulnerabilities. The primary risk associated with this vulnerability is unauthorised access to your environment, potentially leading to lateral movement.
Mitigation
SonicWall has published updates to remediate the vulnerability. Northwave recommends upgrading your SonicOS devices using the latest updates. To minimise potential impact, restrict firewall management access to trusted sources or disable firewall WAN management access from Internet sources. In case upgrading is not possible (swiftly), this measure will also limit exposure of this vulnerability until a patch can be applied.
What should you do?
Upgrade you SonicOS devices and restrict management access where not done so yet.
What will Northwave do?
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.
Phone number: +31 (0)30-303 1244 (during business hours)
E-mail: soc@northwave.nl
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
Sources
Op 22 Augustus 2024 waarschuwde [1] SonicWall voor een kritieke kwetsbaarheid CVE-2024-40766 in het SonicOS besturingssysteem, gebruikt in hun lijn van netwerksecurity producten. Deze kwetsbaarheid betreft zowel SonicWall Firewall Gen 5 and Gen 6 apparten, als Gen 7 apparaten die SonicOS 7.0.1-5035 of ouder gebruiken. De kwetsbaarheid heeft een CVSS v3 score van 9.3 gekregen. Het Northwave Computer Emergency Response Team (NW-CERT) en andere incident response organisaties hebben reeds kennis genomen van misbruik van deze kwetsbaarheid in recente (ransomware) incidenten. Wij sturen U deze Threat Response omdat deze kwetsbaarheid onmiddelijke actie vereist indien er gebruikt wordt gemaakt van een kwetsbaar SonicOS apparaat.
Beschrijving
SonicOS is het besturingssysteem dat gebruikt wordt in de SonicWall lijn van netwerkbeveiligingsproducten. Afhankelijk van de generatie van het product zijn in onderstaande tabel de SonicOS versienummers te vinden waarin de kwetsbaarheid is opgelost:
Generation
|
Devices
|
Fixed version
|
5
|
SOHO
|
5.9.2.14-13o
|
6
|
SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650,
NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250,
SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W
|
6.5.2.8-2n (voor SM9800, NSsp 12400, NSsp 12800)
6.5.4.15.116n (voor andere Gen6 Firewall toepassingen)
|
7
|
TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W,
TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700
|
>7.0.1-5035, SonicWall meldt dat de kwetsbaarheid niet reproduceerbaar is in versie 7.0.1-5035, maar upgraden naar nieuwere versies wordt wel aanbevolen.
|
Impact
Wij schatten de impact van exploitatie van deze kwetsbaarheden in als HOOG omdat succesvolle uitbuiting van deze kwetsbaarheden kan resulteren in ongeautoriseerd toegang tot een netwerkbeveiligingsapparaat. Deze ongeautoriseerde toegang kan leiden tot manipulatie of inzage in netwerkverkeer of kan gebruikt worden als opstap in een aanval op andere systemen.
Risico
Wij schatten het risico van deze kwetsbaarheden in als HOOG aangezien er gemeld wordt dat de kwetsbaarheden actief worden uitgebuit. De primaire risico’s van deze kwetsbaarheden zijn ungeautoriseerde toegang tot uw netwerk en laterale beweging.
Mitigatie
SonicWall heeft updates gepubliceerd om deze kwetsbaarheden te verhelpen. Northwave raadt aan om uw SonicOS apparaten te updaten naar de gepatchte versie. Beperk waar mogelijk toegang tot management interfaces. Indien het op korte termijn updaten niet mogelijk is beperkt deze maatregel de blootstelling door deze kwetsbaarheid.
Wat moet u doen?
Update uw SonicOS apparaten en beperk management toegang waar van toepassing.
Wat doet Northwave?
Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheid in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.
Telefoonnummer: +31 (0)30-303 1244 (tijdens kantooruren)
E-mail: soc@northwave.nl
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer is van toepassing, zie onder.
Bronnen
Met vriendelijke groet / Kind regards,
Disclaimer
Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.