SonicWall SonicOS

Продукт
Разработчики: SonicWALL
Дата последнего релиза: 2020/10/22
Технологии: ОС

Основная статья: Операционные системы

2020: Закрытие 11 уязвимостей в SonicOS

22 октября 2020 года компания Positive Technologies сообщила, что компания SonicWall исправила уязвимости в операционной системе SonicOS, обнаруженные экспертом Positive Technologies Никитой Абрамовым.

Наиболее серьезная уязвимость CVE-2020-5135, выявленная Никитой Абрамовым (Positive Technologies) и Крейгом Янгом (Tripwire), относится к высокому уровню опасности по шкале CVSS v3 (9,4 балла). Уязвимость переполнения буфера в SonicOS позволяет удаленному злоумышленнику вызвать отказ в обслуживании (DoS) и потенциально выполнить произвольный код.

«
Так как в составе протестированного решения есть сервис по предоставлению удаленного доступа SSL-VPN, то в случае отказа в обслуживании (DoS) пользователи предприятия могут быть отключены от своих рабочих мест и внутренней сети. Если же злоумышленник получит возможность выполнять произвольный код, может появиться риск развития атаки для нелегитимного проникновения во внутренние сети компании,

— рассказывает Никита Абрамов, Positive Technologies
»

«
Это пример образцовой практики взаимодействия производителя и исследователей. Такие открытые и прозрачные отношения защищают целостность цифровой среды и обеспечивают лучшую защиту от APT-атак и новых уязвимостей до того, как они повлияют на конечных пользователей,

— говорит Ария Эсламболчизадех, руководитель отдела качества SonicWall
»

Уязвимость CVE-2020-5135 затронула SonicOS 6.5.4.7-79n, SonicOS 6.5.1.11-4n, SonicOS 6.0.5.3-93o и SonicOSv 6.5.4.4-44v-21-794 (вместе с более ранними версиями этих продуктов). Для исправления CVE-2020-5135 необходимо обновить встроенное ПО (в зависимости от используемого продукта) до следующих версий: SonicOS 6.5.4.7-83n, SonicOS 6.5.1.12-1n, SonicOS 6.0.5.3-94o или SonicOS 6.5.4.v-21s-987.

Другая уязвимость в SonicOS получила идентификатор CVE-2020-5133 и оценку 8,2 по шкале CVSS v3. Она позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать переполнение буфера и отказ в обслуживании, что приведет к сбою межсетевого экрана.

Сбои в SonicOS могут быть вызваны также при эксплуатации уязвимостей CVE-2020-5137, CVE-2020-5138, CVE-2020-5139, CVE-2020-5140 (у всех оценка 7,5, воспользоваться ими могут удаленные неаутентифицированные злоумышленники), а также уязвимостей CVE-2020-5134 и CVE-2020-5136 (оценка 6,5, доступны аутентифицированным пользователям).

Кроме того, удаленный неаутентифицированный атакующий может подобрать пароль к тикет-системе и запросам пользователей технической поддержки Virtual Assist ticket ID портала SSL-VPN (ошибка CVE-2020-5141 с оценкой 6,5). Помимо этого, посредством уязвимости межсайтового выполнения сценариев CVE-2020-5142 (оценка 6,5) удаленный злоумышленник, не прошедший проверку подлинности, потенциально может выполнять произвольный код JavaScript на портале SSL-VPN межсетевого экрана. Наконец, CVE-2020-5143 (оценка 5,3) может дать возможность удаленному пользователю без аутентификации на странице входа SonicOS SSL-VPN получить информацию об имени администратора управления межсетевым экраном на основе ответов сервера.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Ред Софт (Red Soft) (42)
  НППКТ (40)
  Softline (Софтлайн) (29)
  Кортис (16)
  Крок (15)
  Другие (351)

  НППКТ (17)
  Almi Partner, Алми партнер (ГК Алми) (7)
  Ред Софт (Red Soft) (4)
  РусБИТех-Астра (ГК \"Астра\")
  Кортис (4)
  Другие (46)

  НППКТ (23)
  Кортис (7)
  Ред Софт (Red Soft) (5)
  ОТР-БИТ (ОТР - безопасность информационных технологий) (2)
  Softlogic (Софтлоджик) (1)
  Другие (8)

  Ред Софт (Red Soft) (5)
  Атлант (ГК Applite) (1)
  Галэкс ГК (Галэкс НТЦ) Galex (1)
  Галэкс Сервис (1)
  Кейсистемс (Keysystems) (1)
  Другие (6)

  Ред Софт (Red Soft) (8)
  РТ МИС (РТ Медицинские информационные системы) (4)
  RDV (РДВ Автоматизация) (1)
  RNT Group (ранее EPAM в России) (1)
  X-Com (Икс ком) (1)
  Другие (6)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft (80, 144)
  Ред Софт (Red Soft) (3, 67)
  РусБИТех-Астра (ГК Астра) (3, 45)
  НППКТ (2, 41)
  ИВК (3, 27)
  Другие (305, 133)

  НППКТ (1, 17)
  РусБИТех-Астра (ГК Астра) (2, 9)
  Ред Софт (Red Soft) (1, 8)
  Almi Partner, Алми партнер (ГК Алми) (1, 7)
  Microsoft (2, 6)
  Другие (11, 19)

  НППКТ (1, 23)
  Ред Софт (Red Soft) (1, 13)
  ИВК (2, 4)
  Базальт СПО (BaseALT) ранее ALT Linux (3, 3)
  РусБИТех-Астра (ГК Астра) (2, 3)
  Другие (0, 0)

  Ред Софт (Red Soft) (1, 6)
  Базальт СПО (BaseALT) ранее ALT Linux (1, 2)
  ИВК (1, 2)
  Microsoft (1, 1)
  Атлант (ГК Applite) (1, 1)
  Другие (0, 0)

  Ред Софт (Red Soft) (1, 10)
  Jolla (Sailfish Holding) (1, 1)
  Открытая мобильная платформа (ОМП) (1, 1)
  Synology (SLMP PTE) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft Windows - 115 (60, 55)
  Linux - 64 (0, 64)
  Ред ОС (Red OS) - 62 (62, 0)
  НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 41 (41, 0)
  ОС Альт (ранее Альт Линукс (ALT Linux) - 27 (16, 11)
  Другие -43

  Linux - 19 (0, 19)
  НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 17 (17, 0)
  Ред ОС (Red OS) - 8 (8, 0)
  Microsoft Windows - 6 (5, 1)
  Siemens MindSphere - 3 (3, 0)
  Другие -13

  НППКТ: ОСнова (Операционная система общего назначения, ОС ОН) - 23 (23, 0)
  Ред ОС (Red OS) - 13 (13, 0)
  ОС Альт (ранее Альт Линукс (ALT Linux) - 4 (2, 2)
  Linux - 2 (0, 2)
  Simply Linux - 1 (1, 0)
  Другие -4

  Ред ОС (Red OS) - 6 (6, 0)
  ОС Альт (ранее Альт Линукс (ALT Linux) - 2 (2, 0)
  Windows Server 2019 - 1 (1, 0)
  Другие 0

  Ред ОС (Red OS) - 10 (10, 0)
  Synology NAS - DiskStation Manager - 1 (1, 0)
  Другие 0