Компания SonicWall выпустила экстренное уведомление о безопасности, посвящённое четырём критическим уязвимостям в своих устройствах серии Secure Mobile Access (SMA) 1000. Эти недостатки безопасности открывают злоумышленникам путь к повышению привилегий в системе, перебору учётных данных пользователей и, что наиболее опасно, обходу обязательной многофакторной аутентификации (MFA). Поскольку временных решений для устранения этих рисков не существует, системным администраторам настоятельно рекомендуется немедленно установить предоставленные обновления, чтобы предотвратить потенциальные целенаправленные атаки.
Детали уязвимостей
Инцидент затрагивает ключевые устройства для безопасного удалённого доступа - шлюзы SMA 1000 в аппаратном и виртуальном исполнении. Эти продукты широко используются в корпоративной и государственной среде для организации VPN-подключений (виртуальных частных сетей), что делает обнаруженные проблемы особенно значимыми. Успешная эксплуатация уязвимостей может привести к полному компрометированию шлюза, утечке конфиденциальных данных и несанкционированному доступу во внутреннюю сеть организации.
Наиболее серьёзной из устранённых проблем является уязвимость повышения привилегий, коренящаяся в классической SQL-инъекции. Этот тип атаки возникает, когда система не выполняет должной нейтрализации специальных символов в командах SQL (язык структурированных запросов), что позволяет злоумышленнику манипулировать базой данных на backend-стороне. В данном конкретном случае атакующий, уже имеющий базовый доступ администратора с правами только на чтение, может использовать эту уязвимость, обозначенную как CVE-2026-4112 с оценкой CVSS 7.2, чтобы получить полный контроль над устройством с правами первичного администратора. Это предоставляет ему тотальный контроль над конфигурацией устройства и активными пользовательскими сессиями.
Всего в бюллетене перечислены четыре уникальных идентификатора CVE (Common Vulnerabilities and Exposures), обнаруженных независимыми исследователями безопасности. Помимо упомянутой SQL-инъекции, были выявлены и другие критические недостатки. Уязвимость CVE-2026-4113 (CVSS 5.3) связана с наблюдаемым несоответствием ответов системы, что позволяет удалённым злоумышленникам систематически угадывать и перебирать учётные данные пользователей SSL VPN. Две другие проблемы, CVE-2026-4114 (CVSS 6.6) и CVE-2026-4116 (CVSS 6.0), связаны с некорректной обработкой кодировки Unicode. Они позволяют аутентифицированному администратору или пользователю обходить проверки по времени, используемые в механизме TOTP (Time-based One-Time Password) для AMC, Workplace и Connect Tunnel, тем самым полностью нивелируя защиту второго фактора аутентификации.
Важным уточнением от вендора является то, что данные уязвимости строго затрагивают только серию SMA1000. Службы SSL-VPN, работающие на стандартных межсетевых экранах SonicWall, не подвержены этим рискам. Следовательно, командам безопасности в первую очередь необходимо проверить модели используемого оборудования перед планированием срочных работ по обновлению. К счастью, по данным SonicWall, на текущий момент нет свидетельств активной эксплуатации этих уязвимостей в реальных атаках.
Организациям, использующим уязвимые версии прошивки, необходимо применить предоставленные исправления безотлагательно. Под угрозой находятся версии программного обеспечения, включая платформенное обновление 12.4.3-03245 и все более ранние выпуски, а также платформенное обновление 12.5.0-02283 и более ранние версии. Для защиты своих сетей администраторам требуется войти на портал MySonicWall и загрузить соответствующие исправленные версии ПО. Рекомендуемыми безопасными версиями для установки являются платформенные обновления 12.4.3-03387 и 12.5.0-02624 или выше.
С точки зрения тактик злоумышленников, данный набор уязвимости представляет собой мощный инструментарий для сложной цепочки атаки. Начав с перебора или фишинга учётных данных для получения первоначального доступа, злоумышленник может затем повысить свои привилегии до уровня полного администратора. После этого, используя недостатки в Unicode-обработке, он способен отключить или обойти многофакторную аутентификацию, что обеспечивает ему скрытное и устойчивое закрепление в системе. Подобный сценарий особенно опасен для организаций, полагающихся на SMA-шлюзы как на ключевой элемент периметра безопасности для удалённых сотрудников и партнёров.
Таким образом, публикация данного бюллетеня подчёркивает непреходящую актуальность базовых принципов безопасности разработки, таких как валидация входных данных и корректная обработка кодировок. Для инфраструктурных команд инцидент служит ещё одним напоминанием о критической важности своевременного управления обновлениями, особенно для компонентов, обеспечивающих удалённый доступ, которые часто становятся первоочередной целью для атакующих.
