Bulletins

SonicWall invite vivement les administrateurs à corriger les bogues du SSLVPN

bs1.jpg

SonicWall a publié des correctifs de sécurité pour trois vulnérabilités affectant ses produits « Secure Mobile Access (SMA) 1000 Series ». Ces failles peuvent permettre aux attaquants de contourner les autorisations et, potentiellement, de compromettre les appareils non corrigés.

Ces bogues touchent la solution SSLVPN de SonicWall qui est utilisée par les entreprises pour simplifier l'accès distant sécurisé de bout en bout aux ressources de l'entreprise dans les environnements de centres de données sur site, en cloud et hybrides. Les vulnérabilités sont suivies sous les noms :

· CVE-2022-22282 (score CVSS : 8.2) : Contournement du contrôle d'accès non authentifié ;

· CVE-2022-1702 (score CVSS : 6.1) : Redirection d'URL vers un site non fiable (redirection ouverte) ;

· CVE-2022-1701 (score CVSS : 5.7) : Utilisation d'une clé cryptographique partagée et codée en dur.

Les failles cités ci-dessus ont un impact sur les SMA 6200, 6210,7200,7210 et 8000v fonctionnant avec les versions 12.4.0 et 12.4.1 du firmware.

La société a corrigé les problèmes en publiant des mises à jour et elle recommande ces clients de les appliquer dès que possible, SonicWall confirme aussi qu’aucune de ces vulnérabilités n’a été exploitées dans des attaques réelles.