Критические уязвимости SonicWall SMA1000 эксплуатируются в целевых атаках: оценка CVSS 10.0 и активное применение

information security

Две уязвимости в устройствах удалённого доступа SonicWall SMA1000 серии получили максимальную оценку опасности 10.0 по шкале CVSS и уже используются злоумышленниками. Проблемы затрагивают модели 6210, 7210 и 8200v, работающие под управлением ряда версий прошивок 12.4.x и 12.5.x. Компания SonicWall выпустила официальное предупреждение 14 июля 2026 года, призвав клиентов немедленно установить горячие исправления платформы.

Описание

Первая уязвимость, обозначенная как CVE-2026-15409, представляет собой межсерверную подделку запросов (SSRF). Она позволяет неавторизованному атакующему открыть туннель на основе веб-сокетов к произвольным сервисам, работающим только на локальном хосте. Вторая проблема, CVE-2026-15410, является локальным повышением привилегий. Злоумышленник, уже получивший доступ к внутреннему сервису на порту 8188, может выполнить произвольные команды операционной системы с правами root. Это достигается через манипуляции с механизмом удаления горячих исправлений, содержащим уязвимость обхода пути.

Обе уязвимости активно эксплуатируются в реальных атаках. Агентство по кибербезопасности и защите инфраструктуры США (CISA) уже добавило их в свой каталог известных эксплуатируемых уязвимостей (KEV). До официального раскрытия информации сотрудники команды Managed Detection and Response компании Rapid7 зафиксировали целевую эксплуатацию SMA 1000-х устройств, доступных из интернета. Атакующие использовали эти устройства как скрытую точку входа в корпоративные сети.

Технически атака начинается с использования веб-сокетного прокси, доступного по пути /wsproxy в приложении "SonicWall WorkPlace" на порту 443. Указав в параметрах URL значение localhost, злоумышленник может отправлять и принимать произвольный TCP-трафик к внутренним сервисам устройства. Таким образом становится доступен, например, Erlang-процесс на локальном порту 1050. В результате исследователи разработали эксплойт, который позволяет выполнить код на устройстве, не требуя аутентификации - значение cookie для Erlang-процесса оказалось жёстко заданным. После получения возможности выполнения команд атакующий переходит ко второму этапу: использует уязвимость CVE-2026-15410 для повышения привилегий до root. Для этого он отправляет запрос на порт 8188, передавая значение hotfix с последовательностью обхода пути, указывающее на собственный вредоносный скрипт. Система выполняет этот скрипт с правами root и перезагружает устройство.

Предоставленный анализ Rapid7 показывает, что злоумышленники выборочно атакуют именно интернет-доступные SMA 1000-устройства. После получения контроля они извлекают учётные данные, базы активных сессий и конфигурации одноразовых паролей на основе времени (TOTP), используемых для многофакторной аутентификации. Это локальное собирание данных обеспечивает атакующим долгосрочный постоянный доступ, который не затрагивается стандартными сетевыми мерами защиты. Затем они перемещаются по внутренней сети, выполняя прямые LDAP-аутентификации к контроллерам домена с IP-адреса скомпрометированного устройства. Такие аутентификации используют учётную запись встроенного LDAP-сервиса и не связаны с активным VPN-туннелем, что является явным признаком полной компрометации.

Организациям, эксплуатирующим устройства SonicWall SMA1000, следует немедленно установить исправления. Версии, содержащие исправления: 12.4.3-03453 (platform-hotfix) или более новые, а также 12.5.0-02835 (platform-hotfix) или более новые для соответствующей линейки. Обходных путей защиты не существует. SonicWall также рекомендует провести тщательную криминалистическую проверку на наличие индикаторов компрометации, выполнить переустановку образа физических устройств или повторное развёртывание виртуальных, а также сменить все пароли пользователей и администраторов. Если компрометация подтверждена, необходимо сбросить TOTP-токены. Характерными признаками атаки являются записи в логах extraweb_access.log с комбинациями "GET", "wsproxy" и "=-3389" и кодом ответа 101, а также вызовы утилиты remove_hotfix с последовательностями обхода пути в логах ctrl-service.log. Кроме того, следует обращать внимание на необычные попытки аутентификации к контроллерам домена с IP-адреса устройства без сопутствующего VPN.

Ситуация демонстрирует, как периметровые устройства удалённого доступа становятся привлекательной целью для атакующих. Использование SSRF для доступа к локальным сервисам в сочетании с повышением привилегий через обход пути создаёт полную цепочку компрометации. Оперативное применение исправлений и последующая ревизия являются единственными надёжными мерами для предотвращения утечки данных и остановки производства.

Индикаторы компрометации

IPv4

  • 193.37.32.179
  • 193.37.32.214
  • 216.73.163.151
  • 216.73.163.158

CIDR

  • 173.239.211.0/24
  • 45.131.194.0/24
  • 45.146.54.0/24
  • 63.135.161.0/24

Комментарии: 0