ГлавнаяБаза уязвимостей БДУ → BDU:2023-06168
7.8высокая

BDU:2023-06168

Уязвимость программного средства обеспечения безопасного доступа SonicWall Secure Mobile Access (SMA 1000), связанная с возможностью обхода пути при проведении процедуры аутентификации, позволяющая нарушителю получить доступ к произвольным файлам и каталогам, хранящимся за пределами корневого веб-каталога
Опубликовано: 2023-10-02
Описание

Уязвимость программного средства обеспечения безопасного доступа SonicWall Secure Mobile Access (SMA 1000) связана с возможностью обхода пути при проведении процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к произвольным файлам и каталогам, хранящимся за пределами корневого веб-каталога

Затрагиваемое ПО и версии
SMA 1000 (до 12.4.2-05352)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к 8443-порту;
- внедрение механизма «белого» списка IP-адресов для ограничения доступа к программному средству;
- использование средств межсетевого экранирования уровня для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0001

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0001
Проверьте безопасность своего сайта и почты → Полная проверка домена