Une vulnérabilité de sécurité critique a été identifiée dans les appareils SonicWall Secure Mobile Access (SMA) série 100. Cette vulnérabilité, répertoriée sous le nom CVE-2024-38475, permet à des individus non autorisés d’accéder à distance à des fichiers sensibles stockés sur les appareils concernés sans avoir besoin d’identifiants de connexion. Une exploitation réussie peut entraîner l’exposition de données confidentielles, avec la possibilité pour les attaquants d’obtenir un contrôle accru sur le système ou le réseau protégé. Il est avéré que cette vulnérabilité est activement exploitée dans la nature.

Produit	SonicWall SMA
Date	28-05-2025 13:17:37
Informations	Correctif disponible Exploitation active

Résumé technique

La CVE-2024-38475 est une vulnérabilité de lecture arbitraire de fichiers pré-authentification affectant les appareils SonicWall SMA série 100. La cause profonde réside dans un défaut sous-jacent au sein du module mod_rewrite du serveur Apache HTTP (versions 2.4.59 et antérieures), utilisé par les appareils SonicWall.

• Type de vulnérabilité : Encodage ou échappement inapproprié de la sortie dans mod_rewrite (CWE-116), conduisant à la lecture arbitraire de fichiers.
• Mécanisme : Le module mod_rewrite d’Apache ne parvient pas à assainir correctement la sortie lors du traitement de règles de réécriture spécifiques (substitutions dans le contexte du serveur utilisant des références ou des variables comme premier segment). Un attaquant non authentifié peut envoyer une requête HTTP GET spécialement conçue vers l’appareil cible. L’URL de cette requête est manipulée (par exemple, FICHIER_CIBLE%3fSUFFIXE_MALVEILLANT.EXT, où %3f est un ? encodé en URL) pour inciter mod_rewrite à mapper la requête vers un fichier arbitraire sur le système de fichiers du serveur.
  • Par exemple, une requête telle que GET /tmp/temp.db%3f.1.1.1.1a-1.css peut permettre à un attaquant de télécharger le fichier /tmp/temp.db.

• Impact : Les attaquants peuvent lire des fichiers sensibles, y compris des bases de données de session (par exemple temp.db contenant des ID de session, des jetons CSRF, des noms d’utilisateur et des champs de mot de passe), des fichiers de configuration, des fichiers journaux et potentiellement le code source des applications. Cette divulgation d’informations peut être exploitée pour obtenir un accès non autorisé supplémentaire ou pour élever les privilèges, conduisant potentiellement à une exécution de code à distance (RCE) dans le cadre d’une attaque en chaîne.

Recommandations

En raison de la nature critique et de l’exploitation active de cette vulnérabilité, il est fortement recommandé d’adopter les mesures suivantes :

1. Appliquer immédiatement les correctifs : Appliquez dès que possible les correctifs de sécurité et les mises à jour du micrologiciel fournis par SonicWall pour les appareils SMA série 100. Consultez les avis de sécurité de SonicWall pour connaître les versions spécifiques corrigées.
2. Restreindre l’accès : S’il n’est pas possible d’appliquer le correctif immédiatement, limitez l’accès réseau à l’interface de gestion de l’appareil SMA. Autorisez uniquement les connexions provenant d’adresses IP et de réseaux de confiance.
3. Surveiller les journaux : Examinez les journaux du serveur web sur les appareils SMA pour détecter toute requête suspecte correspondant au modèle de l’exploit (par exemple, des URL contenant des séquences inhabituelles comme %3f suivies d’extensions ou de chaînes de caractères inattendues).
4. Pare-feu d’application web (WAF) : En tant que mesure de défense en profondeur, envisagez la mise en œuvre de règles WAF pour bloquer ou signaler les requêtes présentant des modèles associés à cet exploit. Toutefois, cela ne doit pas remplacer l’application des correctifs.

[Callforaction-THREAT-Footer]