戴尔修补了SonicWALL全球管理系统的关键缺陷

2021-09-11 19:46:20来源：

戴尔在其中央管理系统中修补了几个关键缺陷，用于SonicWALL企业安全设备，如防火墙和VPN网关。

如果留下未固定，漏洞将允许远程，未经身份验证的攻击者可以完全控制SonicWALL全局管理系统（GMS）部署以及通过这些系统管理的设备。

根据安全公司数字防御的研究人员，SonicWALL GMS虚拟设备软件有六个漏洞，其中四个是至关重要的。

首先，未经身份验证的攻击者可以通过系统的Web界面注入任意命令，该方法将由root权限执行。这是可以通过两个易受攻击的方法：set_time_config和set_dns。

另一个问题是一个隐藏的默认帐户，具有弱，猜测的密码。此帐户可以从命令行使用以添加新的非管理用户。但是，以这种方式创建的非管理用户可以通过Web界面更改管理员帐户的密码，基本上获得管理权限，数字防御研究人员在咨询中表示。

另一个关键问题是GMC服务中的XML外部实体注入（XXE）漏洞。未经身份验证的攻击者可以利用此缺陷来提取GMS群集数据库的加密凭据，IP地址和端口号，然后使用可获得的静态键解密并更改管理员密码。

“攻击者可以完全妥协GMS接口和所有附加的SonicWALL设备，随着root权限，拒绝服务的任意文件检索，”研究人员表示。

戴尔为Dell Sonicalwall GMS和Analyzer 8.0和8.1发布了修补程序修补程序174525。使用帐户登录后，客户可以通过MySonicWall.com网站通过MySonicWALL.com网站下载修补程序。

版权及免责声明：凡本网所属版权作品，转载时须获得授权并注明来源“科技金融网”，违者本网将保留追究其相关法律责任的权力。凡转载文章，不代表本网观点和立场，如有侵权，请联系我们删除。