18/02/25
Злоумышленники начали активно эксплуатировать критическую уязвимость обхода аутентификации в межсетевых экранах SonicWall вскоре после публикации PoC-эксплойта. Уязвимость CVE-2024-53704 затрагивает механизм аутентификации SSLVPN и присутствует в SonicOS версий 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035, используемых в устройствах серий Gen 6, Gen 7 и SOHO, пишет Securitylab.
Эксплуатация уязвимости позволяет хакерам перехватывать активные сеансы SSL VPN без необходимости ввода учётных данных, что даёт им несанкционированный доступ к сетям жертв. Компания SonicWall оперативно уведомила клиентов по электронной почте, настоятельно рекомендовав срочно обновить прошивку SonicOS до защищённой версии. Официальное раскрытие уязвимости и выпуск исправлений состоялись 7 января.
Для тех, кто не может немедленно обновить устройства, SonicWall предложила временные меры защиты: ограничение доступа только доверенным источникам или полное отключение доступа из интернета при отсутствии в нем необходимости.
Согласно отчёту компании Arctic Wolf, первые попытки эксплуатации уязвимости были зафиксированы вскоре после публикации PoC-кода. Эксплойт позволяет обойти многофакторную аутентификацию (MFA), раскрыть конфиденциальные данные и прервать активные VPN-сеансы. Эксперты предупреждают, что простота эксплуатации делает уязвимость особенно опасной.
Исходный код PoC-эксплойта был опубликован исследователями Bishop Fox 10 февраля — через месяц после выхода исправлений. По данным интернет-сканирования, проведённого 7 февраля, в сети оставались доступными около 4500 незащищённых серверов SonicWall SSL VPN.
SonicWall подтвердила, что публичная доступность PoC-эксплойта значительно увеличивает риск атак и призвала немедленно обновить все затронутые версии прошивки или отключить SSLVPN в случае невозможности установки обновления.
В прошлом межсетевые экраны SonicWall уже становились мишенью атак: в октябре 2024 года Arctic Wolf зафиксировала не менее 30 взломов, начавшихся с удалённого доступа через учётные записи SonicWall VPN. Среди злоумышленников, использующих SonicWall в своих атаках, фигурировали группировки Akira и Fog, связанные с распространением программ-вымогателей.
