Серия критических уязвимостей в устройствах безопасности SonicWall SMA100 привлекла пристальное внимание специалистов по кибербезопасности на фоне растущей активности группировки вымогателей Akira. Несмотря на доступность исправлений для уязвимостей, обозначенных как CVE-2025-40596, CVE-2025-40597, CVE-2025-40598 и CVE-2025-40599, исследователи фиксируют учащение атак на инфраструктуру SSL VPN SonicWall, которые предваряют атаки вымогателей. В настоящий момент Агентство кибербезопасности и инфраструктуры США (CISA) официально не подтвердило использование злоумышленниками Akira именно этих конкретных уязвимостей.
Обнаруженные бреши представляют серьезную угрозу, так как потенциально позволяют злоумышленникам выполнять произвольный код на атакуемых системах, что ведет к их полному компрометированию. В конце июля 2025 года исследователи из нескольких компаний зафиксировали рост активности, связанной с подготовкой к атакам вымогателей, так называемых "пре-интрузий". В ряде инцидентов точка входа злоумышленников была связана именно с функционалом SSL VPN на межсетевых экранах SonicWall. Тревожным сигналом стало наблюдение атак даже на устройствах с установленными последними обновлениями безопасности. Это может указывать либо на использование неизвестных уязвимостей нулевого дня (zero-day), либо на успешное применение скомпрометированных учетных данных.
Детализация уязвимостей SMA100
Наиболее критичной эксперты считают уязвимость CVE-2025-40599, связанную с возможностью авторизованного злоумышленника с правами администратора загружать произвольные файлы через веб-интерфейс управления. Это может привести к полному удаленному выполнению кода и обеспечению постоянного присутствия на устройстве. Оценка критичности по шкале Bitsight DVE составляет 6.17 из 10. Компания SonicWall подчеркивает, что для эксплуатации этой уязвимости злоумышленник уже должен обладать административными привилегиями, и на данный момент подтвержденных случаев ее использования в дикой среде нет.
Уязвимость CVE-2025-40596 представляет собой переполнение буфера в стеке веб-интерфейса. Она позволяет неавторизованным удаленным злоумышленникам вызвать отказ в обслуживании системы или выполнить произвольный код. Ее оценка Bitsight DVE - 5.89/10. Эксплуатация CVE-2025-40597, связанной с переполнением буфера в куче (динамической памяти) и имеющей схожие последствия (отказ в обслуживании или удаленное выполнение кода) и оценку 5.82/10, также пока не зафиксирована исследователями. Уязвимость CVE-2025-40598 классифицируется как отраженная межсайтовая сценария (Reflected XSS) через веб-интерфейс. Она может быть использована для внедрения вредоносного JavaScript-кода, что потенциально ведет к перехвату сессий или краже учетных данных. Ее оценка - 5.82/10; она может быть полезна злоумышленникам для разведки или сбора данных для доступа.
Группировка Akira: Возросшая угроза
Группировка вымогателей Akira, впервые обнаруженная в марте 2023 года, превратилась в одного из наиболее активных киберпреступных игроков. Akira работает по модели Ransomware-as-a-Service (RaaS) и широко применяет тактику двойного шантажа: перед шифрованием данных злоумышленники похищают конфиденциальную информацию, угрожая ее публикацией в случае неуплаты выкупа. Требования варьируются от $200 000 до $4 миллионов. По оценкам экспертов, общий доход группировки в 2024 году превысил $42 миллиона. С начала 2025 года от действий Akira пострадали более 250 организаций по всему миру.
Основными мишенями Akira становятся малые и средние предприятия в различных секторах экономики, включая производство, профессиональные, научные и технические услуги, строительство, транспорт и логистику, информационные технологии, образование, здравоохранение и финансовые услуги. Географически атаки сконцентрированы на Северной Америке и Западной Европе, особенно в США, Канаде, Германии, Италии и Великобритании.
Тактика, техники и возможная связь с SonicWall
Типичными векторами начального проникновения для Akira являются скомпрометированные учетные данные для систем, защищенных только однофакторной аутентификацией, таких как VPN или службы удаленного рабочего стола (RDP). После получения доступа группа активно использует общедоступные инструменты для перемещения по сети, сбора учетных данных и разведки. Их атаки носят оппортунистический характер, фокусируясь на непропатченных системах, повторно используемых паролях и неверно сконфигурированной инфраструктуре.
Согласно последним данным разведки угроз, аффилированные лица Akira могут активно нацеливаться на инфраструктуру SSL VPN SonicWall, особенно в средах, где отсутствует многофакторная аутентификация или несвоевременно устанавливаются обновления безопасности. Хотя тактика Akira в целом соответствует эксплуатации уязвимостей в интернет-ориентированных системах, публичных подтверждений использования именно CVE-2025-40596 - CVE-2025-40599 этой группировкой на данный момент не существует.
Потенциальные сценарии эксплуатации
Эксперты отмечают, что при совместном использовании обнаруженные уязвимости могут образовывать эффективную цепочку атаки. Уязвимости CVE-2025-40596 и CVE-2025-40597 теоретически позволяют злоумышленникам удаленно обойти аутентификацию, вызвать сбой или взять под контроль устройства SMA. CVE-2025-40598 может быть использована для внедрения вредоносного кода или кражи учетных данных через XSS, что упрощает перемещение внутри сети. Если злоумышленникам удастся получить административный доступ, CVE-2025-40599 открывает возможность загрузки вредоносных нагрузок и установления постоянного контроля через удаленное выполнение кода. Эта последовательность действий хорошо вписывается в известный почерк Akira, включающий быстрое повышение привилегий, отключение средств восстановления, шифрование инфраструктуры и эксфильтрацию данных для шантажа.
Рекомендации для организаций
Компания SonicWall настоятельно рекомендует клиентам немедленно установить все доступные патчи для устройств серии SMA100. Однако, учитывая наблюдения атак даже на пропатченные системы, критически важными остаются базовые меры кибергигиены: строгое применение многофакторной аутентификации (MFA) для всех точек удаленного доступа (особенно VPN и RDP), регулярная ротация сложных уникальных паролей и учетных данных, непрерывный мониторинг сетевой активности на предмет аномалий, а также обеспечение регулярного резервного копирования критически важных данных с проверкой их восстановления. Организациям также следует отслеживать обновления от CISA и производителей оборудования на предмет возможного подтверждения связи этих уязвимостей с активностью Akira или других злоумышленников.
