Компания SonicWall, известный поставщик решений в области кибербезопасности, выпустила экстренное предупреждение о трех критических уязвимостях в своих устройствах линейки Secure Mobile Access (SMA) 100. Эти уязвимости затрагивают модели SMA 210, SMA 410 и SMA 500v, работающие под управлением прошивки версии 10.2.1.15-81sv и более ранних. Злоумышленники, воспользовавшись данными уязвимостями, могут вызвать отказ в обслуживании (DoS) или даже выполнить произвольный код и JavaScript без аутентификации.
Детали уявзимостей
К числу критических проблем относятся уязвимости, получившие идентификаторы CVE-2025-40596 и CVE-2025-40597. Обе они связаны с переполнением буфера - в первом случае стекового, во втором - динамического (кучи). Они классифицируются как CWE-121 и CWE-122 соответственно и имеют одинаковую оценку CVSS v3 - 7.3 с вектором CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L. Это означает, что для их эксплуатации злоумышленнику не требуется никаких учетных данных, а атака может быть проведена удаленно. Последствия успешной эксплуатации варьируются от полного захвата управления устройством до его полного вывода из строя.
Еще одна уязвимость, CVE-2025-40598, представляет собой отраженную межсайтовую подделку сценариев (Reflected XSS), которая позволяет внедрять произвольный JavaScript в сессии пользователей, перешедших по специально сформированной ссылке. Ее оценка CVSS v3 составляет 6.3 с вектором CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L, а класс уязвимости - CWE-79. Хотя для успешной атаки требуется взаимодействие пользователя, последствия могут быть крайне серьезными: от кражи учетных данных до угрозы заражения дополнительными вредоносными программами.
SonicWall подчеркивает, что для данных уязвимостей не существует функциональных обходных решений, а единственным способом защиты является обновление прошивки до версии 10.2.2.1-90sv или новее. Компания также указывает, что уязвимости не затрагивают устройства серии SSL-VPN SMA1000 и решения на базе брандмауэров SonicWall, что сужает круг потенциально подверженных атаке устройств.
Риски, связанные с эксплуатацией этих уязвимостей, крайне высоки. В корпоративных средах SMA-устройства часто используются в качестве шлюзов удаленного доступа, и их компрометация может позволить злоумышленникам проникнуть во внутреннюю сеть, похитить конфиденциальные данные или даже развернуть вредоносное ПО, включая программы-вымогатели. Учитывая отсутствие свидетельств активной эксплуатации уязвимостей в дикой природе на момент публикации предупреждения, эксперты рекомендуют немедленно принять меры, пока не появились публичные эксплойты.
SonicWall разместила подробные инструкции по устранению уязвимостей на своем сайте, включая прямые ссылки для загрузки исправленных версий прошивки. Администраторам рекомендуется запланировать время для обновления, проверить работоспособность устройств после установки патчей и внимательно изучить логи на предмет подозрительной активности. Дополнительными мерами защиты являются включение многофакторной аутентификации на уровне устройства или каталога, а также активация встроенного межсетевого экрана для веб-приложений на всех SMA 100-устройствах.
Кроме того, организациям следует отслеживать угрозы, связанные с этими уязвимостями, в специализированных источниках киберразведки, чтобы оперативно реагировать на возможные инциденты. Учитывая растущую активность хакерских групп, эксплуатирующих уязвимости в VPN-решениях, своевременное обновление и мониторинг становятся ключевыми элементами защиты корпоративной инфраструктуры.
Эксперты по безопасности также советуют ограничить доступ к веб-интерфейсам устройств только доверенным IP-адресам и регулярно проводить аудит конфигураций. Внедрение этих мер в сочетании с оперативным патчингом значительно снизит вероятность успешной атаки и минимизирует потенциальный ущерб. SonicWall продолжает мониторинг ситуации и обещает оперативно информировать пользователей о новых угрозах или дополнительных рекомендациях.
Ссылки
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0012
- https://www.cve.org/CVERecord?id=CVE-2025-40596
- https://www.cve.org/CVERecord?id=CVE-2025-40597
- https://www.cve.org/CVERecord?id=CVE-2025-40598
