Selon un article de blog, des vulnérabilités affectant l’appareil SonicWall SMA100 sont actuellement exploitées. Ces vulnérabilités ont été découvertes il y a quelques mois et ont attiré l’attention en raison de rumeurs d’exploitation de systèmes SonicWall en milieu sauvage. Les vulnérabilités concernées sont CVE-2024-38475 et CVE-2023-44221. La première, découverte par Orange Tsai, concerne une lecture de fichier arbitraire avant authentification sur le serveur HTTP Apache. La seconde, découverte par Wenjie Zhong (H4lo) du laboratoire Webin de DBappSecurity Co., Ltd, concerne une injection de commande après authentification. Ces vulnérabilités ont été ajoutées à la liste des vulnérabilités exploitées connues par CISA.
SonicBoom : Vulnérabilités critiques sur les appliances SonicWall SMA exploitées activement
Ce résumé est basé sur une publication technique de l’équipe de recherche de watchTowr, consultable à l’URL https://labs.watchtowr.com/sonicboom-from-stolen-tokens-to-remote-shells-sonicwall-sma-cve-2023-44221-cve-2024-38475/. Le billet détaille deux vulnérabilités exploitées dans la nature ciblant les appliances SonicWall SMA100, récemment ajoutées à la base CISA KEV des vulnérabilités activement exploitées.
📌 Vulnérabilités ciblées
-
CVE-2024-38475 : Lecture arbitraire de fichiers pré-authentification via le module
mod_rewrited’Apache HTTP. Bien que la CVE soit attribuée à Apache, SonicWall n’a pas publié de CVE distincte pour son intégration vulnérable. L’exploitation combine des confusions de chemin (Filename ConfusionetDocumentRoot Confusion) permettant de lire des fichiers sensibles du système, dont des journaux et bases SQLite locales contenant des tokens de session admin valides. -
CVE-2023-44221 : Injection de commandes post-authentification, exploitable après avoir récupéré un token valide grâce à CVE-2024-38475. Une mauvaise gestion des entrées dans le composant
traceroute6de l’interface admin permet une exécution de commandes système via un débordement subtil dans les buffers de la fonction de nettoyage.
🛠 Détails de l’exploitation
Les chercheurs ont démontré comment les règles RewriteRule d’Apache dans les SMA permettaient, via une requête malformée avec un point d’interrogation encodé, de contourner la concaténation du chemin et lire n’importe quel fichier accessible au processus Apache (user nobody). Ensuite, une base SQLite contenant des sessions actives a été exfiltrée par tranches via des requêtes HTTP avec en-têtes Range.
Une fois un token valide récupéré, l’exploitation de CVE-2023-44221 s’appuie sur un buffer overflow indirect en injectant une chaîne avec de nombreux guillemets (") échappés, menant à une exécution indirecte de commandes shell dans le binaire diagnostics.
🧩 Chaîne d’exploitation
- CVE-2024-38475 – Lire le fichier
/tmp/temp.dbcontenant les sessions actives. - Extraction d’un cookie de session administrateur actif.
- CVE-2023-44221 – Injection de commande via la fonction
traceroute6, après contournement de la fonction d’échappement.
⚠️ Recommandations
Les vulnérabilités sont activement exploitées. Il est crucial de mettre à jour les appliances SMA100 vers une version corrigée et de vérifier toute activité suspecte d’accès non autorisé ou lecture de fichiers système. Un générateur d’artefacts de détection est mis à disposition par watchTowr pour aider les défenseurs.
📎 watchTowr souligne que les attaquants ont désormais les moyens de reproduire ces vulnérabilités et d’en abuser, rendant la détection et la réaction rapides essentielles.
🔗 Source originale : https://labs.watchtowr.com/sonicboom-from-stolen-tokens-to-remote-shells-sonicwall-sma100-cve-2023-44221-cve-2024-38475/