-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheden verholpen in Sonicwall
Advisory ID : NCSC-2023-0429
Versie : 1.01
Kans : medium
CVE ID : CVE-2023-34123, CVE-2023-34124, CVE-2023-34125,
CVE-2023-34126, CVE-2023-34127, CVE-2023-34128,
CVE-2023-34129, CVE-2023-34130, CVE-2023-34131,
CVE-2023-34132, CVE-2023-34133, CVE-2023-34134,
CVE-2023-34135, CVE-2023-34136, CVE-2023-34137
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Manipulatie van gegevens
Omzeilen van authenticatie
Omzeilen van beveiligingsmaatregel
(Remote) code execution (Administrator/Root rechten)
SQL Injection
Toegang tot systeemgegevens
Uitgiftedatum : 20240221
Toepassing : SonicWall GMS
SonicWall Analytics
Versie(s) :
Platform(s) :
Update
Er is een Metasploit module beschikbaar voor het uitbuiten van
CVE-2023-34124, CVE-2023-34127, CVE-2023-34132 en CVE-2023-34133.
Hiermee is het mogelijk om willekeurige code uit te voeren (RCE) met
verhoogde rechten. De patch voor deze kwetsbaarheden is sinds
12-06-2023 beschikbaar.
De inschaling van dit beveiligingsadvies blijft hiermee MEDIUM/HIGH
Beschrijving
SonicWall heeft kwetsbaarheden verholpen in Global Management System
(GMS) en Analytics. Een kwaadwillende kan de kwetsbaarheden
misbruiken om aanvallen uit te voeren die kunnen leiden tot de
volgende categorieën schade:
* Manipulatie van gegevens
* Omzeilen van authenticatie
* Omzeilen van beveiligingsmaatregel
* (Remote) code execution (Administrator/Root rechten)
* SQL Injection
* Toegang tot systeemgegevens
Mogelijke oplossingen
SonicWall heeft updates uitgebracht om de kwetsbaarheden te
verhelpen in GMS en Analytics. Voor meer informatie, zie:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0010
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com
Charset: utf-8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=TqCl
-----END PGP SIGNATURE-----
