聲波牆發佈針對 GMS 漏洞的補丁

SonicWall 在其全球管理系統 （GMS） 和分析網路報告引擎軟體套件中的關鍵漏洞被 NCC 集團發現后發佈了緊急補丁。

這些漏洞會影響 GMS 9.3.2-SP1 或更早版本的本地版本以及 Analytics 2.5.0.4-R7 或更早版本。未經身份驗證的攻擊者可以在不需要使用者交互的低複雜度攻擊中遠端利用它們。

其中兩個漏洞分別被跟蹤為 CVE-2023-34133 和 CVE-2023-34134（CVSS 分數為 9.8），分別被描述為未經身份驗證的 SQL 注入和密碼哈希暴露問題。其餘兩個 CVE-2023-34124 和 CVE-2023-34137（CVSS 分數為 9.4）分別被描述為 Web 服務身份驗證繞過和 CAS 身份驗證繞過。在其餘漏洞中，四個是高嚴重性漏洞，而其他七個漏洞的嚴重等級為“中等”。

成功利用這些漏洞可能允許攻擊者未經授權訪問敏感數據，例如密碼、配置檔和用戶活動日誌。它還通過修改或刪除數據或禁用服務來中斷網路操作。此外，它還會在受影響的系統上安裝惡意軟體或勒索軟體。

“這套漏洞允許攻擊者查看他們通常無法檢索的數據，”SonicWall說。“這可能包括屬於其他使用者的數據或應用程式本身能夠訪問的任何其他數據。在許多情況下，攻擊者可以修改或刪除這些數據，從而導致應用程式的內容或行為發生持續更改。

SonicWall PSIRT（產品安全事件回應團隊）強烈建議使用下面概述的GMS / Analytics On-Prem版本的組織應立即升級到相應的修補版本。修補後的版本可從 SonicWall 網站下載。

SonicWall PSIRT表示，截至上次知識更新，還沒有關於概念驗證（PoC）漏洞利用代碼或積極利用這些漏洞的公開報告。儘管如此，SonicWall 設備以前一直是勒索軟體和網路間諜攻擊的目標，這凸顯了立即修補以確保網路安全的重要性。

這篇文章的來源包括 BleepingComputer上的一篇文章。

總結

文章名稱

SonicWall 針對 GMS/Analytics 中的漏洞發佈補丁

描述

SonicWall 針對其全球管理系統 （GMS） 和分析網路中的關鍵漏洞發佈了緊急補丁。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標