戴尔在其中央管理系统中修补了几个关键缺陷,用于SonicWALL企业安全设备,如防火墙和VPN网关。
如果留下未固定,漏洞将允许远程,未经身份验证的攻击者可以完全控制SonicWALL全局管理系统(GMS)部署以及通过这些系统管理的设备。
根据安全公司数字防御的研究人员,SonicWALL GMS虚拟设备软件有六个漏洞,其中四个是至关重要的。
首先,未经身份验证的攻击者可以通过系统的Web界面注入任意命令,该方法将由root权限执行。这是可以通过两个易受攻击的方法:set_time_config和set_dns。
另一个问题是一个隐藏的默认帐户,具有弱,猜测的密码。此帐户可以从命令行使用以添加新的非管理用户。但是,以这种方式创建的非管理用户可以通过Web界面更改管理员帐户的密码,基本上获得管理权限,数字防御研究人员在咨询中表示。
另一个关键问题是GMC服务中的XML外部实体注入(XXE)漏洞。未经身份验证的攻击者可以利用此缺陷来提取GMS群集数据库的加密凭据,IP地址和端口号,然后使用可获得的静态键解密并更改管理员密码。
“攻击者可以完全妥协GMS接口和所有附加的SonicWALL设备,随着root权限,拒绝服务的任意文件检索,”研究人员表示。
戴尔为Dell Sonicalwall GMS和Analyzer 8.0和8.1发布了修补程序修补程序174525。使用帐户登录后,客户可以通过MySonicWall.com网站通过MySonicWALL.com网站下载修补程序。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。