Центр мониторинга и реагирования UserGate предупреждает о множественных уязвимостях в продукте китайского вендора – Sangfor’s Next Gen Application Firewall

С их помощью злоумышленники могут получить доступ к исходному коду и локальным файлам (в режиме «read only»), возможность добавлять собственных пользователей SSO через SQL-инъекцию, а также получать информацию о конфигурации подключенных к устройству доменов, включая логин и пароль. Это возможно из-за слабого механизма аутентификации и последующего манипулирования ответами сервера Apache.

Кроме это в исследовании watchTour Labs продемонстрирован Proof of Concept для двух видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID.

Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями. Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе.

Оставшиеся уязвимости Sangfor не смогла подтвердить, ссылаясь на false positive.

Уязвимостям присвоены следующие идентификаторы CVE:

• CVE-2023-30802;
• CVE-2023-30803;
• CVE-2023-30804;
• CVE-2023-30805;
• CVE-2023-30806.

Уязвимые версии и продукты:

• Sangfor’s Next Gen Application Firewall (NGAF) 8.0.17.

Рекомендации:

Если в вашей инфраструктуре используется указанное ПО, специалисты Центра мониторинга и реагирования UserGate рекомендуют пользователям следующие действия:

1) закрыть внешний доступ к сервисам Firewall Report Center и Administrator Login Portal на портах 85 и 4433;

2) проверить актуальность подписки на модуль Security updates;

3) добавить в блокирующее правило IDPS следующие сигнатуры:

• Sangfor NGAF Arbitrary file read;
• Sangfor NGAF Remote code execution in loginout.php;
• Sangfor NGAF Remote code execution in PHPSESSID;
• Sangfor NGAF malicious SSO user creation;
• Sangfor NGAF Content-Length Source Code Dump.

Тематики: Безопасность

Ключевые слова: информационная безопасность