Старые уязвимости в SonicWall продолжают терзать корпоративные сети

Компания SonicWall снова оказалась в центре внимания после выявления и подтверждения активной эксплуатации нескольких уязвимостей в устройствах серии Secure Mobile Access (SMA). Производитель сообщил, что злоумышленники уже используют слабые места в защите, чтобы проникать в системы и выполнять удалённый запуск кода. Речь идёт об уязвимостях CVE-2023-44221 и CVE-2024-38475 , каждая из которых может представлять серьёзную угрозу для корпоративных сетей.

Первая уязвимость , CVE-2023-44221, связана с некорректной обработкой специальных символов в интерфейсе управления SMA100 SSL-VPN. Если атакующий обладает правами администратора, он может выполнить произвольные команды от имени системного пользователя с ограниченными правами. Несмотря на то, что атака требует авторизации, SonicWall предупреждает — случаи её применения в реальных условиях уже зафиксированы.

Вторая проблема, CVE-2024-38475, получила критическую оценку из-за неправильно реализованной экранизации в модуле mod_rewrite HTTP-сервера Apache. В результате, возможно выполнение кода без аутентификации, если злоумышленник сумеет сопоставить URL с разрешёнными файловыми путями. Особенно тревожным оказалось то, что специалисты SonicWall и их партнёры обнаружили дополнительный вектор атаки — через несанкционированный доступ к файлам, что может привести к захвату активных сессий.

Обе уязвимости касаются таких устройств, как SMA 200, 210, 400, 410 и виртуального шлюза SMA 500v. Уязвимости устранены в версии прошивки 10.2.1.14-75sv и выше. Компания настоятельно рекомендует администраторам проверить журналы авторизации и убедиться в отсутствии признаков взлома.

Неделей ранее SonicWall уже поднимала тревогу по поводу другой уязвимости — CVE-2021-20035 , устранённой ещё в 2021 году. Однако стало известно, что она продолжает использоваться в атаках на устройства SMA100, и эксплуатируется по крайней мере с января текущего года. Эту информацию подтвердила компания Arctic Wolf, а позже и Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), включив уязвимость в перечень активно эксплуатируемых и обязав федеральные структуры усилить защиту.

В январе SonicWall уже сталкивалась с похожей ситуацией, когда критическая уязвимость в шлюзах SMA1000 использовалась в атаках нулевого дня. Следом появилась информация об эксплойтах, позволяющих обходить аутентификацию в Gen 6 и Gen 7 файрволах, с захватом VPN-сессий. Нынешняя волна инцидентов подчёркивает, насколько важно своевременно обновлять устройства и контролировать попытки несанкционированного доступа.