SMA 100 Appliances

Die Schwachstelle betrifft die SMA-100-Appliances von SonicWall, also Geräte für den gesicherten Fernzugriff auf Unternehmensnetze. Der Fehler liegt im Apache-httpd-Webserver der Appliance, genauer im Modul mod_cgi: Bei der Verarbeitung von Umgebungsvariablen kommt es zu einem stapelbasierten Pufferüberlauf. Dabei werden mehr Daten in einen fest dimensionierten Speicherbereich des Stacks geschrieben, als dieser fassen kann, wodurch angrenzende Speicherinhalte überschrieben werden. Ein Angreifer kann diesen Überlauf aus der Ferne und ohne vorherige Anmeldung auslösen und auf diesem Weg eigenen Code auf dem Gerät zur Ausführung bringen. Der eingeschleuste Code läuft mit den Rechten des Systemkontos ’nobody’. Da die SMA-100-Geräte typischerweise direkt aus dem Internet erreichbar sind, um Fernzugriff bereitzustellen, ist die verwundbare Webserver-Komponente besonders exponiert. Betroffen sind die Modelle SMA 200, 210, 400, 410 sowie die virtuelle Variante 500v.