تأمین‌کننده لوازم امنیتی شبکه، SonicWall اواخر روز پنجشنبه پچ‌های فوری را برای یک نقص مهم در نرم‌افزار سیستم مدیریت جهانی (GMS) ارسال کرد و هشدار داد که این مشکل، مشاغل را در معرض حملات هکری از راه دور قرار می‌دهد.

این آسیب‌پذیری، که دارای درجه‌بندی با شدت بحرانی CVSS 9.4 است، بر اساس مستندات SonicWall درباره این مشکل، مسیری را برای یک مهاجم راه دور فراهم می‌کند تا کوئری‌های SQL دلخواه را در پایگاه داده اجرا کند.

این آسیب‌پذیری به دلیل سالم‌سازی ناکافی داده‌های ارائه‌شده توسط کاربر، تنظیم سناریو‌هایی وجود دارد که در آن یک مهاجم احراز هویت نشده از راه دور می‌تواند یک درخواست طراحی‌شده خاص به برنامه آسیب‌دیده ارسال کند و دستورات SQL دلخواه را در پایگاه داده برنامه اجرا کند.

بر اساس این توصیه، بهره‌برداری موفقیت‌آمیز از نقص امنیتی SonicWall GMS ممکن است به مهاجم راه دور اجازه دهد تا داده‌ها را در پایگاه داده بخواند، حذف کند، تغییر دهد و کنترل کاملی بر برنامه آسیب دیده به دست آورد.

این آسیب‌پذیری که تحت عنوان CVE-2022-22280 ردیابی و معرفی می‌شود، بر نصب‌های سیستم مدیریت جهانی SonicWall قبل از نسخه 9.3.1-SP2-Hotfix-2 تأثیر می‌گذارد.

مجموعه SonicWall گفت که از بهره‌برداری فعال در فضای سایبری یا انتشار عمومی کد سواستفاده proof-of-concept (PoC) که این باگ را هدف قرار می‌دهد، تا بدین لحظه آگاه نیست.

در اینجا توضیحات Sonicwall از این مشکل آمده است:

باگ CVE-2022-22280 یک آسیب‌پذیری حیاتی (CVSS 9.4) است که منجر به خنثی‌سازی نادرست عناصر ویژه مورد استفاده در دستور SQL در SonicWall GMS می‌شود.

هیچ راه حلی برای این آسیب‌پذیری وجود ندارد. با این حال، احتمال بهره‌برداری ممکن است به طور قابل توجهی با ترکیب یک فایروال برنامه وب (WAF) یا Web Application Firewall برای مسدود کردن تلاش‌های SQLi کاهش یابد.

تیم پاسخگویی به حوادث امنیتی محصول این شرکت، سازمان‌هایی که از نسخه GMS آسیب‌دیده استفاده می‌کنند را تحت فشار قرار می‌دهد تا پچ‌ها را فوراً اعمال کنند.

مجموعه SonicWall راهنما‌های استقرار را برای کمک به سازمان‌ها برای ارتقای استقرار GMS منتشر کرده است.

سیستم مدیریت جهانی SonicWall توسط مشتریان سازمانی برای استقرار و مدیریت مرکزی فایروال SonicWall، وایرلس، امنیت‌ ایمیل و ابزار‌های دسترسی از راه دور ایمن از یک کنسول استفاده می‌شود.