MS-ISAC 安全通告编号:2025-110
发布日期: 2025年11月24日
概述
在SonicOS中发现了一个漏洞,可能导致拒绝服务(DoS)。SonicOS是运行在SonicWall网络安全设备(如防火墙)上的操作系统。成功利用此漏洞可能允许远程未认证攻击者造成拒绝服务(DoS),导致受影响的防火墙崩溃。此漏洞仅影响防火墙上已启用的SonicOS SSLVPN接口或服务。
威胁情报
目前尚未有报告表明该漏洞在野被利用。
受影响系统
- SonicOS 7.3.0-7012 及更早版本(7.0.1分支不受影响)
- SonicOS 8.0.2-8011 及更早版本
风险评级
- 政府机构:
- 大型及中型政府实体:高
- 小型政府实体:中
- 企业:
- 大型及中型商业实体:高
- 小型商业实体:中
- 家庭用户:低
技术摘要
在SonicOS中发现了一个漏洞,可能导致拒绝服务(DoS)。漏洞详情如下:
战术: 影响 (TA0040) 技术: 终端拒绝服务 (T1499)
SonicOS SSLVPN服务中存在一个栈缓冲区溢出漏洞,允许远程未认证攻击者造成拒绝服务(DoS),导致受影响的防火墙崩溃。SonicWall PSIRT未察觉到活跃的野利用。目前没有公开的PoC报告,也未收到关于此漏洞被恶意利用的报告。此漏洞仅影响防火墙上已启用的SonicOS SSLVPN接口或服务。(CVE-2025-40601)
成功利用此漏洞可能允许远程未认证攻击者造成拒绝服务(DoS),导致受影响的防火墙崩溃。
修复建议
我们建议采取以下措施:
-
应用更新
- 在适当测试后,立即为受影响的系统应用SonicWall提供的相应更新。(M1051:更新软件)
- 保障措施 7.1: 建立并维护企业资产的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时,审查并更新文档。
- 保障措施 7.2: 建立并维护基于风险的修复策略,记录在修复流程中,并每月或更频繁地进行审查。
- 保障措施 7.4: 通过自动补丁管理,每月或更频繁地对企业资产执行应用程序更新。
- 保障措施 7.5: 每季度或更频繁地对内部企业资产执行自动化漏洞扫描。使用符合SCAP标准的漏洞扫描工具执行认证和非认证扫描。
- 保障措施 7.7: 根据修复流程,每月或更频繁地通过流程和工具修复软件中检测到的漏洞。
- 保障措施 12.1: 确保网络基础设施保持最新状态。示例实施方案包括运行最新的稳定软件版本和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本以验证软件支持。
- 保障措施 18.1: 建立并维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围(如网络、Web应用程序、API、托管服务和物理场所控制)、频率、限制(如可接受时间、排除的攻击类型)、联系人信息、修复(如发现结果如何内部路由)以及追溯要求。
- 保障措施 18.2: 根据计划要求,每年至少执行一次定期外部渗透测试。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验,必须通过合格的团队进行。测试可以是白盒或黑盒。
- 保障措施 18.3: 根据企业的修复范围和优先级策略,修复渗透测试发现的问题。
-
网络过滤
- 使用网络设备过滤入口或出口流量,并执行基于协议的过滤。在终端上配置软件以过滤网络流量。(M1037:过滤网络流量)
- 保障措施 4.2: 为网络设备建立并维护安全配置流程。每年或在发生可能影响此保障措施的重大企业变更时,审查并更新文档。
- 保障措施 7.6: 使用符合SCAP标准的漏洞扫描工具,每月或更频繁地对外部暴露的企业资产执行自动化漏洞扫描。
- 保障措施 7.7: 根据修复流程,每月或更频繁地通过流程和工具修复软件中检测到的漏洞。
-
利用保护
- 使用功能来检测和阻止可能导致或表明软件漏洞利用发生的条件。(M1050:漏洞利用保护)
- 保障措施 10.5: 在可能的情况下,在企业资产和软件上启用反漏洞利用功能,例如Microsoft®数据执行保护(DEP)、Windows® Defender漏洞利用防护(WDEG)或Apple®系统完整性保护(SIP)和Gatekeeper™。