SonicWall修補防火牆重大漏洞

安全廠商SonicWall本周釋出安全公告，以修補可能讓攻擊者執行惡意程式碼的漏洞，多款防火牆產品受到影響。

編號CVE-2022-22274的漏洞是存在SonicOS中的堆疊記憶體緩衝溢位（stack-based buffer overflow）漏洞。遠端攻擊者可透過發出HTTP呼叫開採，對防火牆裝置發動阻斷服務（denial of service）攻擊，或是在裝置上執行程式碼。該漏洞被列為CVSS 3.1風險值9.4。

受影響的軟體包括7.0.1-505、7.0.1-R579、6.5.4.4-44v-21-1452及之前版本。30多款產品受影響；包括TZ系列的TZ270、TZ270W、TZ370、TZ370W、TZ470、 TZ470W、TZ570、TZ570W、TZ570P、TZ670，NS系列的NSa 2700、NSa 3700、NSa 4700、NSa 5700、NSa 6700、NSsp 10700、NSsp 11700、NSsp 13700、NSv 270、NSv 470、 NSv 870（7.0.1-505版軟體以前版本）。NSsp 15700（7.0.1-R579以前版本）及NSv 10、NSv 25、NSv 50、NSv 100、NSv 200、NSv 300、NSv 400、NSv 800、NSv 1600（6.5.4.4-44v-21-1452以前版本）。

SonicWall表示尚未發現有針對性攻擊、公開的概念驗證程式或惡意開採行動。SonicWall已釋出新版軟體，呼籲用戶儘速升級防火牆軟體到最新版本。若用戶無法立即更新，SonicWall建議管理員修改存取規則，僅允許受信賴人員及程式存取SonicOS。