4500 серверов под угрозой: хакеры активно эксплуатируют уязвимость брандмауэров SonicWall

SonicWall CVE-2024-53704 SSLVPN уязвимость атака эксплойт безопасность
4500 серверов под угрозой: хакеры активно эксплуатируют уязвимость брандмауэров SonicWall
SonicWall CVE-2024-53704 SSLVPN уязвимость атака эксплойт безопасность

Исследователи предупреждают о рисках для корпоративных сетей по всему миру.

image

Злоумышленники начали активно эксплуатировать критическую уязвимость обхода аутентификации в межсетевых экранах SonicWall вскоре после публикации PoC-эксплойта. Уязвимость CVE-2024-53704 затрагивает механизм аутентификации SSLVPN и присутствует в SonicOS версий 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035, используемых в устройствах серий Gen 6, Gen 7 и SOHO.

Эксплуатация уязвимости позволяет хакерам перехватывать активные сеансы SSL VPN без необходимости ввода учётных данных, что даёт им несанкционированный доступ к сетям жертв. Компания SonicWall оперативно уведомила клиентов по электронной почте, настоятельно рекомендовав срочно обновить прошивку SonicOS до защищённой версии. Официальное раскрытие уязвимости и выпуск исправлений состоялись 7 января .

Для тех, кто не может немедленно обновить устройства, SonicWall предложила временные меры защиты: ограничение доступа только доверенным источникам или полное отключение доступа из интернета при отсутствии в нем необходимости.

Согласно отчёту компании Arctic Wolf, первые попытки эксплуатации уязвимости были зафиксированы вскоре после публикации PoC-кода . Эксплойт позволяет обойти многофакторную аутентификацию (MFA), раскрыть конфиденциальные данные и прервать активные VPN-сеансы. Эксперты предупреждают, что простота эксплуатации делает уязвимость особенно опасной.

Исходный код PoC-эксплойта был опубликован исследователями Bishop Fox 10 февраля — через месяц после выхода исправлений. По данным интернет-сканирования, проведённого 7 февраля, в сети оставались доступными около 4500 незащищённых серверов SonicWall SSL VPN.

SonicWall подтвердила , что публичная доступность PoC-эксплойта значительно увеличивает риск атак и призвала немедленно обновить все затронутые версии прошивки или отключить SSLVPN в случае невозможности установки обновления.

В прошлом межсетевые экраны SonicWall уже становились мишенью атак: в октябре 2024 года Arctic Wolf зафиксировала не менее 30 взломов, начавшихся с удалённого доступа через учётные записи SonicWall VPN. Среди злоумышленников, использующих SonicWall в своих атаках, фигурировали группировки Akira и Fog, связанные с распространением программ-вымогателей.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь