Експерти попереджають, що зловмисники вже атакують вразливість обходу автентифікації, що зачіпає брандмауери SonicWall. Річ у тім, що для цієї проблеми нещодавно з’явився proof-of-concept експлоїт.

Вразливість CVE-2024-53704, яка отримала статус критичної, було виявлено в механізмі автентифікації SSLVPN, вона зачіпає версії SonicOS 7.1.x (до 7.1.1-7058), 7.1.2-7019 і 8.0.0-8035, які використовуються в різних моделях брандмауерних екранів Gen 6, Gen 7 і SOHO-пристроях.

Унаслідок успішної експлуатації цієї вразливості віддалені зловмисники можуть перехоплювати активні сеанси SSL VPN, минаючи автентифікацію, що в підсумку дасть їм несанкціонований доступ до мереж жертв.

Наприкінці минулого тижня фахівці компанії Arctic Wolf попередили, що незабаром після публікації PoC-експлоїта для CVE-2024-53704 вони почали фіксувати спроби використання цієї вразливості в атаках.

“Опублікований PoC-експлоїт дає змогу неавтентифікованому зловмиснику обійти БФА (багатофакторну автентифікацію), розкрити конфіденційну інформацію і перервати запущені VPN-сесії. З огляду на простоту експлуатації та доступні дані про загрозу, Arctic Wolf настійно рекомендує всім оновитися до виправленої прошивки, щоб усунути цю вразливість”, – писали дослідники.

Експлоїт для CVE-2024-53704 опублікували дослідники з компанії Bishop Fox 10 лютого, тобто приблизно через місяць після виходу патчів.

Після цього представники SonicWall знову наголосили, що після публікації PoC-експлоїта ризик використання уразливості багаторазово зріс, і закликали всіх клієнтів негайно оновити непропатчені брандмауери (7.1.x і 8.0.0) або відключити SSLVPN.