Firma SonicWall została zmuszona do wydania kolejnej poprawki, aby usunąć lukę w zabezpieczeniach, która została pierwotnie zgłoszona we wrześniu 2020 r. i dotyczyła ponad 800.000 2020 sieci VPN SonicWall. Pierwotnie oznaczony i traktowany jako CVE-5135-2020, problem został zidentyfikowany jako krytyczna luka w zabezpieczeniach związana z przepełnieniem bufora stosu, która może zostać wykorzystana przez zdalnych atakujących do wykonania dowolnego kodu na urządzeniach, których dotyczy problem, lub do spowodowania odmowy usługi (DoS). Dostawca cyberbezpieczeństwa, firma SonicWall, wydała łatkę naprawiającą lukę w październiku 2020 r. Okazuje się jednak, że łatka nie została poprawnie zakodowana i faktycznie spowodowała problem ze zrzutem pamięci, który zmusił firmę SonicWall do powrotu do rysowania w celu rozwiązania problemu. . , który jest już naprawiony. Craig Young, badacz bezpieczeństwa w TripWire, który jest uznawany przez Nikitę Abramov z Positive Technologies za odkrywcę luki CVE-5135-XNUMX, opublikował szczegółowy opis swoich interakcji z SonicWall w celu naprawienia „niechlujnego układu”. "
Lepiej późno niż wcale
Young mówi, że zauważył, że coś jest nie tak z październikową łatką dla CVE-2020-5135 i zaalarmował SonicWall 6 października. „9 października firma SonicWall potwierdziła moje oczekiwania, że było to wynikiem nieprawidłowej łatki dla CVE-2020-5135 i poinformowała mnie, że załatane wersje oprogramowania układowego zaczęły być już udostępniane na stronie mysonicwall.com, a także za pośrednictwem lazur. – pisze Jeune. Stwierdza, że chociaż SonicWall udostępnił wersję poprawki, zarejestrowaną teraz jako CVE-2021-20019 w październiku 2020 r., dopiero kilka miesięcy później, w czerwcu 2021 r., wersja została upubliczniona, a poprawka została wypchnięta. Do klientów.- Przygotowaliśmy również listę najlepszych dostępnych rozwiązań VPN.