Alert GCSA-23087 - Vulnerabilita' in prodotti SonicWall


******************************************************************

Alert GCSA-23087 - Vulnerabilita' in prodotti SonicWall

******************************************************************

alert ID: GCSA-23087
data: 13 luglio 2023
titolo: Vulnerabilita' in prodotti SonicWall

******************************************************************

:: Descrizione del problema

SonicWall ha rilasciato degli aggiornamenti per risolvere 15 vulnerabilita' di sicurezza,
di cui 4 di livello critico, che interessano i prodotti Global Management System (GMS)
ed il software di network reporting Analytics.

CVE-2023-34124: Web Service Authentication Bypass
CVE-2023-34133: Multiple Unauthenticated SQL Injection Issues & Security Filter Bypass
CVE-2023-34134: Password Hash Read via Web Service
CVE-2023-34137: CAS Authentication Bypass

Maggiori informazioni sono disponibili alla sezione "Riferimenti".


:: Prodotti interessati

SonicWall GMS - Virtual Appliance 9.3.2-SP1 e precedenti
SonicWall GMS - Windows 9.3.2-SP1 e precedenti
SonicWall Analytics - 2.5.0.4-R7 e precedenti


:: Impatto

Esecuzione remota di codice arbitrario (RCE)
Rivelazione di informazioni (ID)
Authentication Bypass
Data Manipulation


:: Soluzioni

Aggiornare alle seguenti versioni

SonicWall GMS - Virtual Appliance 9.3-9330 e successivi
SonicWall GMS - Windows 9.3-9330 e successivi
SonicWall Analytics - Analytics 2.5.2-R9 e successivi

https://www.sonicwall.com/techdocs/pdf/gms-9-3-upgrade-guide.pdf


:: Riferimenti

SonicWall Security Advisory
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0010

BleepingComputer.com
https://www.bleepingcomputer.com/news/security/sonicwall-warns-admins-to-patch-critical-auth-bypass-bugs-immediately/

CSIRT Italia
https://www.csirt.gov.it/contenuti/vulnerabilita-in-prodotti-sonicwall-al03-230713-csirt-ita

Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.


GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZK/9xA0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCZJEAn21XkDhHAh1b9W68WHbIdAZiC0HkAJ4piP11DxI4
s8JJ7/nDmWwLXv+RGQ==
=uCGZ
-----END PGP SIGNATURE-----