发布日期：2011-10-04
更新日期：2011-11-24

受影响系统：

SonicWALL NSA 4500
SonicWALL Sonicpoints

描述：

---

BUGTRAQ  ID: 49930

SonicWall NSA 4500是整合了多核硬件和SonicWALL的Reassembly-Free Deep Packet Inspection引擎的UTM防火墙。

SonicWall NSA 4500产品在实现上存在HTML注入和会话劫持漏洞，攻击者可利用这些漏洞劫持用户会话，访问受影响应用，运行恶意HTML或JavaScript代码，窃取cookie验证凭证，控制站点外观。

1、SonicWall NSA 4500里有一个MAC欺骗保护选项，可通过ESSID在无线网络中激活。如果访问点是Sonicpoint，此保护无效。管理员也不会收到任何警告或提升，这就意味着此保护虽然激活了，但是无效。

2、SonicWall NSA 4500 Web管理界面可直接自定义某些Web页，要利用漏洞，直接转到main.html，Users->Settings，在"Login page content"中，输入任意代码后就会执行。

3、SonicWall NSA 4500 Web管理界面可生成会话ID，存储在 "SessId" cookie 变量中，这些ID可通过暴力猜测获取，然后劫持管理会话。

<*来源：Hugo Vazquez Caramas
  
  链接：http://www.sonicwall.com/shared/download/SonicWALL_Analysis_of_PenTest_Vulnerability_Reports_100611.pdf
        http://www.securityfocus.com/archive/1/519994
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

GET /log.wri HTTP/1.0
Host: 123.123.123.123
Connection: close
User-Agent: brute-forcing
Cookie: SessId=111111111

失败后，提示404 HTTP响应；
成功后，提示200 HTTP响应并看到SonicWall日志。

建议：

---

厂商补丁：

SonicWALL
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.sonicwall.com

浏览次数：2337
严重程度：0（网友投票）