Эксперты предупреждают, что злоумышленники уже атакуют уязвимость обхода аутентификации, затрагивающую брандмауэры SonicWall. Дело в том, что для этой проблемы недавно появился proof-of-concept эксплоит.
Уязвимость CVE-2024-53704, получившая статус критической, была обнаружена в механизме аутентификации SSLVPN и затрагивает версии SonicOS 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035, которые используются в различных моделях межсетевых экранов Gen 6, Gen 7 и SOHO-устройствах.
В результате успешной эксплуатации этой уязвимости удаленные злоумышленники могут перехватывать активные сеансы SSL VPN, минуя аутентификацию, что в итоге даст им несанкционированный доступ к сетям жертв.
В электронном письме, разосланном в начале января 2025 года (до публичного раскрытия информации об уязвимости), SonicWall призывала клиентов немедленно обновить прошивку SonicOS для своих брандмауэров, чтобы предотвратить эксплуатацию уязвимости.
Компания также предложила администраторам, которые не могут немедленно обеспечить безопасность своих устройств, меры по снижению рисков, включая ограничение доступа только доверенным источникам и полное ограничение доступа к интернету.
В конце прошлой недели специалисты компании Arctic Wolf предупредили, что вскоре после публикации PoC-эксплоита для CVE-2024-53704 они начали фиксировать попытки использования этой уязвимости в атаках.
«Опубликованный PoC-эксплоит позволяет неаутентифицированному злоумышленнику обойти МФА (многофакторную аутентификацию), раскрыть конфиденциальную информацию и прервать запущенные VPN-сессии. Учитывая простоту эксплуатации и доступные данные об угрозе, Arctic Wolf настоятельно рекомендует всем обновиться до исправленной прошивки, чтобы устранить эту уязвимость», — писали исследователи.
Эксплоит для CVE-2024-53704 был опубликован исследователями из компании Bishop Fox 10 февраля, то есть спустя примерно месяц после выхода патчей.
В Bishop Fox сообщали, что по данным на 7 февраля в открытом доступе было обнаружено около 4500 непропатченных серверов SonicWall SSL VPN.
После этого представители SonicWall вновь подчеркнули, что после публикации PoC-эксплоита риск использования уязвимости многократно возрос, и призвали всех клиентов немедленно обновить непропатченные брандмауэры (7.1.x и 8.0.0) или отключить SSLVPN.
