Компания Sophos выпустила важное уведомление о безопасности, касающееся критической уязвимости обхода аутентификации в своих беспроводных точках доступа серии AP6. Проблема, обнаруженная в ходе планового внутреннего тестирования безопасности, может позволить атакующим получить полные привилегии администратора на уязвимых устройствах.
Детали уязвимости
Идентифицированная уязвимость, получившая идентификатор CVE-2025-10159, затрагивает версии прошивки точек доступа Sophos AP6 Series ранее 1.7.2563 (MR7). Злоумышленник, имеющий доступ к управляющему IP-адресу точки доступа, может обойти проверки аутентификации, что фактически предоставляет ему повышенный контроль над устройством. Уязвимость имеет критический уровень severity (степень опасности), а для продукта Sophos Wireless не существует обходного решения (workaround), кроме установки обновления.
Эксплуатация данной уязвимости может привести к несанкционированным изменениям беспроводных настроек, правил сетевой сегментации или конфигураций ведения логов, открывая дверь для дальнейшей компрометации сети. Это может позволить злоумышленникам изменять конфигурации беспроводных сетей для перехвата или манипулирования пользовательским трафиком, создавать несанкционированные беспроводные сети или ослаблять настройки шифрования, а также использовать доверенные подключения устройств для проникновения во внутренние системы.
Для успешной атаки злоумышленник должен получить доступ к управляющему IP-адресу устройства. Во многих развертываниях управляющие интерфейсы ограничены внутренними сетями или выделенными VLAN для управления. Однако неправильно сконфигурированные сети или незащищенные порты управления могут оставить устройства уязвимыми как изнутри, так и за пределами корпоративного периметра.
Sophos включила исправление в версию прошивки 1.7.2563 (MR7), выпущенную 11 августа 2025 года. Для защиты сети компания рекомендует проверить версию прошивки на всех точках доступа Sophos AP6 Series. Если версия старше 1.7.2563 (MR7), необходимо немедленно загрузить и установить обновление. В средах с отключенными автоматическими обновлениями следует включить их или запланировать обновление прошивки в ближайшее окно обслуживания. Успешность установки необходимо подтвердить, проверив версию прошивки в панели управления (dashboard) устройства.
Пользователи, полагающиеся на политику автоматического обновления Sophos по умолчанию, которая устанавливает новую прошивку автоматически, не требуют каких-либо действий. Все остальные пользователи должны расценить это обновление как приоритетное, чтобы избежать потенциальных нарушений безопасности. Беспроводные точки доступа служат критически важными шлюзами между пользовательскими устройствами и корпоративными сетями, и оставление данной уязвимости без исправления представляет собой значительный риск. Своевременная установка обновлений является ключевым элементом поддержания безопасности сети.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-10159
- https://www.sophos.com/en-us/security-advisories/sophos-sa-20250909-ap6
