Компания SonicWall предупредила клиентов об уязвимости нулевого дня в своем устройстве удаленного доступа SMA 1000, которое активно эксплуатируется. Эта уязвимость потенциально позволяет злоумышленникам повышать свои привилегии и получать полный контроль над устройствами.
Ошибка, отслеживаемая как CVE-2025-40602, находится в консоли управления устройствами серии Secure Mobile Access (SMA) 1000 от SonicWall. Она вызвана отсутствием или недостаточной проверкой авторизации, что позволяет аутентифицированным злоумышленникам повышать свои привилегии.
В консультативном уведомлении SonicWall говорится, что уязвимость была объединена с другой ранее исправленной ошибкой в SMA 1000 (CVE-2025-23006), что позволяет удаленно выполнять код с правами root без аутентификации. Это особенно опасная комбинация при использовании в реальных атаках.
В официальном уведомлении SonicWall, опубликованном на этой неделе, рекомендуется пользователям немедленно обновить программное обеспечение до последних версий исправлений и ограничить доступ к консоли управления устройствами доверенными сетями. Команда PSIRT компании заявляет, что проблема затрагивает только устройства SMA 1000 и не влияет на другие продукты SonicWall, такие как межсетевые экраны или функции SSL VPN. Однако тот факт, что злоумышленники уже начали использовать эту уязвимость, подчеркивает, насколько уязвимой остается инфраструктура удаленного доступа.
Исследователи, отслеживающие уязвимые устройства, сообщают о сотнях устройств SMA 1000, доступных в открытом интернете. Это означает, что существует большое количество потенциально уязвимых целей, если обновления не будут установлены оперативно.
SonicWall неоднократно становилась мишенью для киберпреступников в 2025 году. В сентябре компания сообщила о взломе своего облачного сервиса резервного копирования MySonicWall, в результате которого злоумышленники получили доступ к резервным копиям конфигураций межсетевых экранов, хранящимся для клиентов. Первоначальные оценки, согласно которым пострадало менее 5% пользователей, были пересмотрены после расследования инцидента совместно с Mandiant. Было установлено, что файлы резервных копий всех организаций, использующих сервис, были скомпрометированы.
Эти скомпрометированные файлы конфигурации, включающие сетевые правила, политики доступа и зашифрованные учетные данные, могли предоставить злоумышленникам подробную карту корпоративной инфраструктуры, если бы они смогли подобрать пароли или расшифровать содержимое. SonicWall настоятельно рекомендовала клиентам удалить существующие облачные резервные копии, изменить свои учетные данные MySonicWall, сменить общие секреты и пароли, а также создать новые файлы резервных копий локально, а не в облаке.
Позднее SonicWall связала компрометацию резервных копий с государственными киберпреступными группами, хотя и отказалась назвать конкретную страну или группировку. Компания пообещала “продолжать работать со сторонними организациями над укреплением сетевой и облачной инфраструктуры”, процесс, который, судя по активно эксплуатируемой на этой неделе уязвимости нулевого дня, все еще находится в стадии активной разработки. ®
Автор – Carly Page
