Австралийский центр кибербезопасности (ACSC) распространил экстренное предупреждение о критической уязвимости в межсетевых экранах SonicWall, которую в настоящее время активно используют злоумышленники. Уязвимость, получившая идентификатор CVE-2024-40766, затрагивает функцию управления SonicOS и работу SSLVPN в нескольких поколениях устройств SonicWall.
Детали уязвимости
Проблема классифицирована как нарушение контроля доступа (CWE-284) и имеет высший уровень опасности - 9.3 балла по шкале CVSS v3.0. Она позволяет осуществлять несанкционированный доступ к системным ресурсам, а в определённых условиях способна приводить к полному отказу межсетевых экранов. Эксплуатация уязвимости не требует взаимодействия с пользователем и может быть проведена удалённо через сеть.
Вектор CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L указывает на то, что атаки возможны без аутентификации, при низкой сложности реализации, с высоким воздействием на конфиденциальность и ограниченным - на доступность. Важно, что изменённая область влияния означает риск распространения последствий уязвимости за пределы уязвимого компонента.
Под угрозой находится широкий спектр устройств SonicWall трёх поколений. Это Gen 5 SOHO с версией SonicOS 5.9.2.14-12o и старше, Gen 6 (включая популярные серии TZ 300-600, NSA 2650-6650 и SM 9200-9650) с прошивкой 6.5.4.14-109n и ранее, а также Gen 7 (модели TZ270-670 и NSa 2700-6700) со сборкой SonicOS 7.0.1-5035 и старше. Столь масштабный охват продукции подчёркивает серьёзность проблемы для пользователей SonicWall.
В своём рекомендательном сообщении компания SonicWall прямо указывает, что уязвимость, вероятно, уже эксплуатируется в реальных условиях, и настоятельно советует немедленно установить обновления. Сочетание критической severity, возможности удалённой эксплуатации и активных действий угроз делает CVE-2024-40766 чрезвычайно опасной для организаций, использующих уязвимые устройства для обеспечения сетевой безопасности.
Нарушение контроля доступа может позволить злоумышленникам обойти механизмы аутентификации и получить несанкционированный доступ к чувствительным сетевым ресурсам. В корпоративных средах это способно привести к утечкам данных, перемещению внутри сети и полному компрометации систем.
Организациям, использующим затронутые устройства, необходимо незамедлительно установить патчи. Обновлённые версии прошивок доступны на портале mysonicwall.com. При наличии активной эксплуатации промедление с обновлением может подвергнуть компании значительным киберрискам. Сетевым администраторам также рекомендуется проверить логи межсетевых экранов на предмет подозрительной активности и усилить мониторинг в процессе развёртывания исправлений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2024-40766
- https://nvd.nist.gov/vuln/detail/cve-2024-40766
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015
