Компания SonicWall сообщила о новой уязвимости, которая активно используется злоумышленниками для атак на устройства серии SMA1000. Эта уязвимость относится к так называемым уязвимостям нулевого дня, т.е. она использовалась до того, как был выпущен патч для её устранения.
В отчёте SonicWall говорится, что проблема связана с компонентом управления устройством (Management Console или AMC). Уязвимость получила идентификатор CVE-2025-40602. Её оценили как средней степени опасности с оценкой 6.6 по CVSS. Проблема возникает из-за недостаточной проверки прав доступа в интерфейсе управления, что может позволить злоумышленнику повысить свои привилегии на устройстве.
SonicWall также отметил, что эта новая уязвимость используется в сочетании с другой, более серьёзной проблемой - CVE-2025-23006. Эта старая уязвимость позволяет удалённое выполнение произвольного кода без авторизации, и её уже эксплуатировали ранее в атаках.
В документации SonicWall указывается, что последовательность атак выглядит так: сначала злоумышленник использует старую критическую уязвимость CVE-2025-23006, а затем с её помощью получает доступ к системе и использует CVE-2025-40602 для повышения прав. Чтобы успешно использовать новую уязвимость, атакующему уже нужен доступ высокого уровня или незапатченная система.
Как защититься
SonicWall настоятельно советует своим клиентам установить обновления. Патчи, закрывающие новую уязвимость, включены в версии прошивок:
12.4.3-03245 и выше
12.5.0-02283 и выше
Кроме того, компания рекомендует:
ограничить доступ к интерфейсу управления только через VPN или по IP-адресам администраторов;
отключить доступ к консоли управления через общедоступный Интернет;
настроить SSH-доступ только через защищённые каналы.
SonicWall также уточняет, что если старая, критическая уязвимость CVE-2025-23006 ещё не исправлена, система уже находится под серьёзной угрозой. В этом случае новая проблема не увеличивает поверхность атаки, потому что злоумышленник уже получил доступ через старую.
Контекст угроз
Эти инциденты не единственные проблемы для клиентов SonicWall в этом году. Ранее компания признала, что злоумышленники получили доступ к её облачному сервису резервного копирования и получили конфигурации всех клиентов. Летом также наблюдалась волна атак с участием группы Akira, которая использовала другую старую уязвимость (CVE-2024-40766) для доступа к устройствам.
Источник: DarkReading