Es ist als CVE-2020-5135 aufgeführt – es kann dazu verwendet werden, ein Gerät zum Absturz zu bringen und Benutzer daran zu hindern, eine Verbindung zu Unternehmensressourcen herzustellen. Es könnte auch die Tür zur Remote Code Execution (RCE) öffnen.
Wenn sich jemand die Zeit nimmt, RCE-Nutzlasten vorzubereiten, könnte er laut dem Qualys Security Advisory-Team wahrscheinlich durch einen Wurm ein umfangreiches Botnet erstellen. Diese Schwachstelle kann über eine HTTP-Anfrage ausgenutzt werden, so dass ein „Proof of Concept“ oder ein funktionierender Exploit in kurzer Zeit veröffentlicht werden dürfte.
Das Problem wurde von Tripwire VERT entdeckt – https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/. Der ThreatProtect-Post von Qualys ist hier: https://threatprotect.qualys.com/2020/10/15/sonicwall-vpn-portal-buffer-overflow-vulnerability-cve-2020-5135/
Hier kommentiert Bharat Jogi, Vulnerability Security Engineer bei Qualys zu diesem Thema:
„Mit der Zunahme der Remote-Arbeit im Zeitalter von COVID-19 sind VPN-Server zu einem wesentlichen Bestandteil der Infrastruktur jeder Organisation geworden. Leider wurden diese dadurch auch zu sehr lukrativen Zielen für Hacker. In den letzten Monaten waren VPN-Server schweren Angriffen von Hackern ausgesetzt.
Die Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security (DHS) veröffentlicht weiterhin Warnmeldungen, in denen Organisationen darauf hingewiesen werden, aktiv ausgenutzte VPN-Schwachstellen zu patchen. Erst letzten Monat hat die CISA des DHS die iranischen Bedrohungsakteure, die VPN-Schwachstellen bei Citrix, Palo Alto, Pulse Secure und Fortinet ausnutzen, detailliert aufgeführt.
Zwar wird dieses Problem zum jetzigen Zeitpunkt nicht aktiv ausgenutzt, doch angesichts des gestiegenen Interesses an der Ausnutzung von VPN-Schwachstellen durch böswillige Akteure und der Tatsache, dass CVE-2020-5135 ohne jegliche Benutzerinteraktion ausgenutzt werden kann, empfehlen wir den Usern, so bald wie möglich Patches für diese Schwachstelle zu installieren“.