Компания SonicWall выпустила экстренные исправления для своих устройств серии Secure Mobile Access (SMA) 100. Обновление направлено на устранение опасной бреши в системе безопасности, статус которой подтвержден как активная эксплуатация в реальных условиях. Производитель настоятельно рекомендует пользователям применить исправления как можно скорее, чтобы предотвратить компрометацию корпоративных сетей.
Выявленная уязвимость получила идентификатор CVE-2025-40602 и оценку 6.6 балла по шкале CVSS. Природа недостатка классифицируется как локальное повышение привилегий. Первопричиной проблемы стала недостаточная авторизация в консоли управления устройством (Appliance Management Console — AMC), что открывает злоумышленникам возможности для манипуляций внутри системы.
Главная угроза заключается в механике эксплуатации, которую применяют атакующие. Хакеры объединяют новую уязвимость в цепочку с ранее исправленным критическим багом CVE-2025-23006. Эта старая уязвимость имела критический рейтинг CVSS 9.8 и была устранена производителем в конце января 2025 года с выпуском платформенного хотфикса версии 12.4.3-02854.
Результатом такой цепочки атак становится возможность неаутентифицированного удаленного выполнения кода (RCE) с правами суперпользователя (root). Комбинируя эти недостатки, злоумышленники получают полный контроль над уязвимым устройством без необходимости иметь учетные данные, что делает атаку чрезвычайно опасной даже для обновленных частично систем.
Для защиты оборудования SonicWall выпустила специальные хотфиксы для двух групп версий прошивки. Для устройств, работающих на версии 12.4.3-03093 и более ранних, выпущена исправленная версия 12.4.3-03245. Администраторам необходимо немедленно обновить программное обеспечение до указанной сборки, чтобы закрыть вектор атаки.
Вторая группа затронутых устройств включает те, что работают под управлением версии 12.5.0-02002 и ниже. Для них безопасным релизом является версия 12.5.0-02283. Установка этих обновлений является единственным надежным способом защиты от текущей волны эксплойтов, нацеленных на недостатки авторизации AMC.
Обнаружение данной угрозы и факта ее активного использования — заслуга исследователей Клемана Лесиня (Clément Lecigne) и Зандера Уорка (Zander Work). Они представляют группу Google Threat Intelligence Group (GTIG). На данный момент отсутствуют конкретные детали относительно масштаба атак или личности преступников, стоящих за текущей кампанией эксплуатации.
Ситуация развивается на фоне предыдущих инцидентов безопасности, связанных с продукцией вендора. В июле компания Google сообщала о кластере угроз под кодовым названием UNC6148. Эта группа специализировалась на атаках полностью обновленных устройств SonicWall SMA 100 серии, у которых истек срок поддержки (end-of-life), используя бэкдор под названием OVERSTEP.
На текущий момент исследователям не ясно, связана ли активность группы UNC6148 с эксплуатацией новой уязвимости CVE-2025-40602. Несмотря на схожесть целей, прямых доказательств участия этой группировки в использовании свежей цепочки эксплойтов пока не представлено.
Изображение носит иллюстративный характер
Выявленная уязвимость получила идентификатор CVE-2025-40602 и оценку 6.6 балла по шкале CVSS. Природа недостатка классифицируется как локальное повышение привилегий. Первопричиной проблемы стала недостаточная авторизация в консоли управления устройством (Appliance Management Console — AMC), что открывает злоумышленникам возможности для манипуляций внутри системы.
Главная угроза заключается в механике эксплуатации, которую применяют атакующие. Хакеры объединяют новую уязвимость в цепочку с ранее исправленным критическим багом CVE-2025-23006. Эта старая уязвимость имела критический рейтинг CVSS 9.8 и была устранена производителем в конце января 2025 года с выпуском платформенного хотфикса версии 12.4.3-02854.
Результатом такой цепочки атак становится возможность неаутентифицированного удаленного выполнения кода (RCE) с правами суперпользователя (root). Комбинируя эти недостатки, злоумышленники получают полный контроль над уязвимым устройством без необходимости иметь учетные данные, что делает атаку чрезвычайно опасной даже для обновленных частично систем.
Для защиты оборудования SonicWall выпустила специальные хотфиксы для двух групп версий прошивки. Для устройств, работающих на версии 12.4.3-03093 и более ранних, выпущена исправленная версия 12.4.3-03245. Администраторам необходимо немедленно обновить программное обеспечение до указанной сборки, чтобы закрыть вектор атаки.
Вторая группа затронутых устройств включает те, что работают под управлением версии 12.5.0-02002 и ниже. Для них безопасным релизом является версия 12.5.0-02283. Установка этих обновлений является единственным надежным способом защиты от текущей волны эксплойтов, нацеленных на недостатки авторизации AMC.
Обнаружение данной угрозы и факта ее активного использования — заслуга исследователей Клемана Лесиня (Clément Lecigne) и Зандера Уорка (Zander Work). Они представляют группу Google Threat Intelligence Group (GTIG). На данный момент отсутствуют конкретные детали относительно масштаба атак или личности преступников, стоящих за текущей кампанией эксплуатации.
Ситуация развивается на фоне предыдущих инцидентов безопасности, связанных с продукцией вендора. В июле компания Google сообщала о кластере угроз под кодовым названием UNC6148. Эта группа специализировалась на атаках полностью обновленных устройств SonicWall SMA 100 серии, у которых истек срок поддержки (end-of-life), используя бэкдор под названием OVERSTEP.
На текущий момент исследователям не ясно, связана ли активность группы UNC6148 с эксплуатацией новой уязвимости CVE-2025-40602. Несмотря на схожесть целей, прямых доказательств участия этой группировки в использовании свежей цепочки эксплойтов пока не представлено.
