【安全通报】SonicWall SSL-VPN 远程命令执行漏洞

花屋敷 1204天前

SonicWALL 的SSL VPN NetExtender 功能是一种用于Windows、Mac 和Linux 用户的透明软件应用程序，支持远程用户安全连接到远程网络。利用NetExtender，远程用户可以安全地在远程网络上运行任何应用程序。用户可以上传下载文件，安全网络驱动器，访问资源，如同在本地网络上一样。

SonicWall SSL-VPN 历史版本中存在漏洞，远程攻击者利用 CGI 程序处理逻辑漏洞，构造恶意的User-Agent，可造成远程任意命令执行，并获得主机控制权限。目前互联网上已经公开了获取 nobody 用户权限的攻击代码，建议相关用户尽快采取安全措施阻止漏洞攻击。

SonicWall在Twitter中回应该漏洞早于2015年修复，但近期 darrenmart 在 darrenmartyn 中公布关于该漏洞利用细节。

影响范围

Sonic SMA < 8.0.0.4

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（(body="login_box_sonicwall" || header="SonicWALL SSL-VPN Web Server") && body="SSL-VPN"）共有 14,615 个相关服务对外开放。美国使用数量最多，共有 6,658 个；日本第二，共有 1,394 个；英国第三，共有 1,139 个；德国第四，共有 943 个；法国第五，共有 589 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区上海使用数量最多，共有 69 个；江苏第二，共有 24 个；广东第三，共有 20 个；北京第四，共有 9 个；福建第五，共有 6 个。

漏洞POC

目前 FOFA 客户端平台已经更新检测POC。

修复建议

升级 Sonic SMA 至最新版本8.0.0.4。

针对 http header 进行检测，可能存在的特征字符串如下 () { :; }; 使用 nginx 反向代理对 header 进行强制过滤。

location  /cgi-bin/jarrewrite.sh {
    proxy_pass http://your-ssl-vpn:your-ssl-vpn-port$request_uri;
    proxy_set_header host $http_host;
    proxy_set_header user-agent "sonicwall ssl-vpn rec fix";
}