Вэтом году число уязвимостей в устройствах и программном обеспечении SonicWall растет, в результате чего клиенты поставщика подвергаются риску вторжения через защищенные шлюзы доступа и межсетевые экраны.
Год начался для калифорнийской компании неудачно: 7 января она опубликовала рекомендации по безопасности для девяти уязвимостей. Общее число уязвимостей, публично раскрытых компанией в 2025 году, выросло до 20.
Уязвимости SonicWall также регулярно появляются в каталоге известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и безопасности инфраструктуры . Киберорганы подтверждают, что с начала года злоумышленники воспользовались четырьмя уязвимостями в продуктах SonicWall, а с конца 2021 года — в общей сложности 14.
По данным CISA, восемь из этих уязвимостей были использованы в кампаниях по вымогательству.
Клиенты SonicWall наслаждались относительным затишьем: в период с марта 2022 года по сентябрь 2024 года не было выявлено ни одной новой уязвимости, эксплуатируемой в реальных условиях, однако в начале этого года вновь возросла активность вредоносных программ, нацеленных на оборудование и программное обеспечение поставщика.
Четыре активно эксплуатируемые уязвимости, добавленные в каталог CISA в этом году, включают трио из SonicWall Secure Mobile Access (SMA) 100 Appliances: две уязвимости внедрения команд операционной системы, CVE-2023-44221 и CVE-2021-20035 , и критическая уязвимость десериализации ненадежных данных, CVE-2025-23006 .
Другая уязвимость, недавно эксплуатируемая в реальных условиях, CVE-2024-53704 , представляет собой дефект неправильной аутентификации в механизме защищенных сокетов виртуальной частной сети (SSL/VPN) в SonicWall SonicOS, операционной системе, на которой работают новейшие брандмауэры компании.
Райан Эммонс, исследователь безопасности компании Rapid7, обнаружил новые уязвимости в прошлом месяце и поделился подробностями с SonicWall 2 мая. Команда безопасности SonicWall подтвердила раскрытие информации примерно через 30 минут, а три дня спустя предоставила Rapid7 исправление, эффективность которого была подтверждена, сообщил Эммонс в своем блоге .
В среду SonicWall выпустила обновление программного обеспечения и опубликовала рекомендации по безопасности, касающиеся уязвимостей, через пять дней после того, как Rapid7 впервые поделилась с компанией своими выводами. Для некоторых клиентов SonicWall SMA 100 это могло быть слишком поздно.
«Rapid7 полагает, что CVE-2025-32819 могла эксплуатироваться в реальных условиях, основываясь на внутренних расследованиях и известных частных индикаторах компрометации», — сообщил Эммонс CyberScoop по электронной почте. «Мы пока не обнаружили никаких признаков того, что CVE-2025-32820 и CVE-2025-32821 эксплуатируются в реальных условиях. Однако устройства серии SMA 100 пользуются популярностью, поэтому, вероятно, ситуация изменится в будущем».
Злоумышленники могут воспользоваться тремя дефектами программного обеспечения и объединить их вместе, чтобы добиться «удалённого выполнения кода с правами root на устройстве SonicWall SMA 100, что является наивысшим уровнем привилегий и контроля, который злоумышленник может получить на таком устройстве», — сказал Эммонс.
Злоумышленнику не нужны исключительные навыки для достижения этой злонамеренной цели. По словам Эммонса, киберпреступники могут воспользоваться уязвимостью CVE-2025-32819, получив доступ к любой учётной записи пользователя с низкими привилегиями на уязвимом устройстве SonicWall SMA100.
«Это позволяет злоумышленнику удалить ключевой файл и перезагрузить SMA с именем пользователя и паролем администратора по умолчанию», — сказал Эммонс. «После этого они могут использовать вход в систему и два других эксплойта, чтобы получить полный контроль над устройством».
Мэтт Нейдерман, директор по стратегии компании SonicWall, сообщил CyberScoop, что компании неизвестно о какой-либо активной эксплуатации трех недавно обнаруженных уязвимостей — CVE-2025-32819, CVE-2025-32820 и CVE-2025-32821 — и SonicWall сотрудничает с Rapid7 для дальнейшего расследования.
«Хотя Rapid7 опубликовала технические подробности и примеры эксплойтов, подтверждающие их эффективность, в настоящее время у нас нет данных, подтверждающих эксплуатацию уязвимостей третьими лицами-злоумышленниками, SonicWall не указывает на то, что эти уязвимости активно эксплуатируются в реальных условиях», — сказал Нейдерман.
«Учитывая доступность кода эксплойта и критическую природу этих уязвимостей, настоятельно рекомендуется применить последние исправления, предоставленные SonicWall, чтобы снизить потенциальные риски», — добавил Нейдерман.
По данным отчета M-Trends, опубликованного компанией Mandiant в прошлом месяце, треть всех атак в 2024 году была связана с эксплойтами, а четыре наиболее часто эксплуатируемые уязвимости были обнаружены в периферийных устройствах.
«Поскольку подобные устройства на базе Linux имеют ограниченные операционные системы, у них практически никогда не настроены функции защиты конечных точек и реагирования или надежные возможности ведения журналов, поэтому они представляют собой отличную нишу для злоумышленников, работающих изнутри сети», — сказал Эммонс.
Клиенты крупных поставщиков сетевых устройств, таких как Palo Alto Networks, Cisco и Fortinet, с 2024 года столкнулись с многочисленными эксплуатируемыми уязвимостями в своих продуктах. Уязвимость внедрения команд в функцию GlobalProtect PAN-OS от Palo Alto Networks, CVE-2024-3400 , была наиболее часто эксплуатируемым дефектом во всех мероприятиях Mandiant по реагированию на инциденты в прошлом году.
По данным Mandiant , две уязвимости, затрагивающие устройства Ivanti Connect Secure VPN и Ivanti Policy Secure — CVE-2023-46805 и CVE-2024-21887 — оказались следующими по частоте эксплуатируемых уязвимостей в 2024 году.
За последние 17 месяцев Ivanti упоминается в каталоге KEV CISA чаще, чем любой другой производитель межсетевых экранов, VPN и маршрутизаторов. В этом году злоумышленники воспользовались пятью уязвимостями в продуктах Ivanti , а с начала 2024 года — 16.
Как отметили руководители других производителей устройств безопасности, Нейдерман заявил, что большинство уязвимостей SonicWall, использованных злоумышленниками в этом году, затрагивают устаревшие технологии. «Эти уязвимости в основном связаны с устаревшими устройствами VPN или SSL/VPN, которые стали целью злоумышленников большинства производителей в отрасли», — сказал он.
«Рост числа активно эксплуатируемых уязвимостей в сфере кибербезопасности в этом году также отражает более общую проблему отрасли», — сказал Нейдерман. «Мы полагаем, что рост активности обусловлен сочетанием атак на устройства SMA (VPN) со стороны злоумышленников, поскольку устройства VPN многих производителей упоминались в новостях как уязвимые».
Под этим обязательством подписались более 300 компаний, включая практически всех основных поставщиков сетевых устройств, среди которых Palo Alto Networks, Cisco, Fortinet, Ivanti, Barracuda, Citrix и Check Point Software Technologies .
Добровольное публичное обязательство обязывает поставщиков включать в свои технологии проверенные функции безопасности по умолчанию. Это включает многофакторную аутентификацию, сокращение числа паролей по умолчанию и целых классов уязвимостей, которые можно предотвратить в больших масштабах, а также усилия по увеличению числа установок обновлений безопасности клиентами.
«SonicWall реализовала все основные принципы, определенные в обязательстве по обеспечению безопасности посредством проектирования, и полностью поддерживает его цели, а также официально начала процесс», — заявил Нейдерман.
По словам Нейдермана, новейшие устройства безопасности шлюзов компании включают функции безопасности по умолчанию. В прошлом году компания SonicWall объявила о завершении поддержки устаревших VPN-устройств серии SMA 100, а недавно развернула управляемый защитный пакет в качестве лицензии и сервиса брандмауэра по умолчанию, чтобы обеспечить правильную настройку и соответствие лучшим практикам, добавил он.
«Неуправляемые и необновлённые устройства создают серьёзную проблему», — сказал Нейдерман. «Управляемые межсетевые экраны снижают риск нарушений из-за недавно обнаруженных уязвимостей».
Нейдерман сообщил, что SonicWall намерена официально подписать соглашение, но он не уточнил, когда это произойдет, и не объяснил, почему этого еще не произошло.
Год начался для калифорнийской компании неудачно: 7 января она опубликовала рекомендации по безопасности для девяти уязвимостей. Общее число уязвимостей, публично раскрытых компанией в 2025 году, выросло до 20.
Уязвимости SonicWall также регулярно появляются в каталоге известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и безопасности инфраструктуры . Киберорганы подтверждают, что с начала года злоумышленники воспользовались четырьмя уязвимостями в продуктах SonicWall, а с конца 2021 года — в общей сложности 14.
По данным CISA, восемь из этих уязвимостей были использованы в кампаниях по вымогательству.
Клиенты SonicWall наслаждались относительным затишьем: в период с марта 2022 года по сентябрь 2024 года не было выявлено ни одной новой уязвимости, эксплуатируемой в реальных условиях, однако в начале этого года вновь возросла активность вредоносных программ, нацеленных на оборудование и программное обеспечение поставщика.
Четыре активно эксплуатируемые уязвимости, добавленные в каталог CISA в этом году, включают трио из SonicWall Secure Mobile Access (SMA) 100 Appliances: две уязвимости внедрения команд операционной системы, CVE-2023-44221 и CVE-2021-20035 , и критическая уязвимость десериализации ненадежных данных, CVE-2025-23006 .
Другая уязвимость, недавно эксплуатируемая в реальных условиях, CVE-2024-53704 , представляет собой дефект неправильной аутентификации в механизме защищенных сокетов виртуальной частной сети (SSL/VPN) в SonicWall SonicOS, операционной системе, на которой работают новейшие брандмауэры компании.
Появились три новых дефекта SonicWall
Ранее на этой неделе компания раскрыла и выпустила исправления для трех новых уязвимостей — CVE-2025-32819 , CVE-2025-32820 и CVE-2025-32821 , — затрагивающих устройства SonicWall SMA 100.Райан Эммонс, исследователь безопасности компании Rapid7, обнаружил новые уязвимости в прошлом месяце и поделился подробностями с SonicWall 2 мая. Команда безопасности SonicWall подтвердила раскрытие информации примерно через 30 минут, а три дня спустя предоставила Rapid7 исправление, эффективность которого была подтверждена, сообщил Эммонс в своем блоге .
В среду SonicWall выпустила обновление программного обеспечения и опубликовала рекомендации по безопасности, касающиеся уязвимостей, через пять дней после того, как Rapid7 впервые поделилась с компанией своими выводами. Для некоторых клиентов SonicWall SMA 100 это могло быть слишком поздно.
«Rapid7 полагает, что CVE-2025-32819 могла эксплуатироваться в реальных условиях, основываясь на внутренних расследованиях и известных частных индикаторах компрометации», — сообщил Эммонс CyberScoop по электронной почте. «Мы пока не обнаружили никаких признаков того, что CVE-2025-32820 и CVE-2025-32821 эксплуатируются в реальных условиях. Однако устройства серии SMA 100 пользуются популярностью, поэтому, вероятно, ситуация изменится в будущем».
Злоумышленники могут воспользоваться тремя дефектами программного обеспечения и объединить их вместе, чтобы добиться «удалённого выполнения кода с правами root на устройстве SonicWall SMA 100, что является наивысшим уровнем привилегий и контроля, который злоумышленник может получить на таком устройстве», — сказал Эммонс.
Злоумышленнику не нужны исключительные навыки для достижения этой злонамеренной цели. По словам Эммонса, киберпреступники могут воспользоваться уязвимостью CVE-2025-32819, получив доступ к любой учётной записи пользователя с низкими привилегиями на уязвимом устройстве SonicWall SMA100.
«Это позволяет злоумышленнику удалить ключевой файл и перезагрузить SMA с именем пользователя и паролем администратора по умолчанию», — сказал Эммонс. «После этого они могут использовать вход в систему и два других эксплойта, чтобы получить полный контроль над устройством».
Мэтт Нейдерман, директор по стратегии компании SonicWall, сообщил CyberScoop, что компании неизвестно о какой-либо активной эксплуатации трех недавно обнаруженных уязвимостей — CVE-2025-32819, CVE-2025-32820 и CVE-2025-32821 — и SonicWall сотрудничает с Rapid7 для дальнейшего расследования.
«Хотя Rapid7 опубликовала технические подробности и примеры эксплойтов, подтверждающие их эффективность, в настоящее время у нас нет данных, подтверждающих эксплуатацию уязвимостей третьими лицами-злоумышленниками, SonicWall не указывает на то, что эти уязвимости активно эксплуатируются в реальных условиях», — сказал Нейдерман.
«Учитывая доступность кода эксплойта и критическую природу этих уязвимостей, настоятельно рекомендуется применить последние исправления, предоставленные SonicWall, чтобы снизить потенциальные риски», — добавил Нейдерман.
Устройства безопасности подвергаются атакам
SonicWall — один из многих поставщиков сетевых устройств, ставших мишенью киберпреступников, и в каждом случае от атак напрямую страдают клиенты, использующие уязвимые VPN, брандмауэры и маршрутизаторы.По данным отчета M-Trends, опубликованного компанией Mandiant в прошлом месяце, треть всех атак в 2024 году была связана с эксплойтами, а четыре наиболее часто эксплуатируемые уязвимости были обнаружены в периферийных устройствах.
«Поскольку подобные устройства на базе Linux имеют ограниченные операционные системы, у них практически никогда не настроены функции защиты конечных точек и реагирования или надежные возможности ведения журналов, поэтому они представляют собой отличную нишу для злоумышленников, работающих изнутри сети», — сказал Эммонс.
Клиенты крупных поставщиков сетевых устройств, таких как Palo Alto Networks, Cisco и Fortinet, с 2024 года столкнулись с многочисленными эксплуатируемыми уязвимостями в своих продуктах. Уязвимость внедрения команд в функцию GlobalProtect PAN-OS от Palo Alto Networks, CVE-2024-3400 , была наиболее часто эксплуатируемым дефектом во всех мероприятиях Mandiant по реагированию на инциденты в прошлом году.
По данным Mandiant , две уязвимости, затрагивающие устройства Ivanti Connect Secure VPN и Ivanti Policy Secure — CVE-2023-46805 и CVE-2024-21887 — оказались следующими по частоте эксплуатируемых уязвимостей в 2024 году.
За последние 17 месяцев Ivanti упоминается в каталоге KEV CISA чаще, чем любой другой производитель межсетевых экранов, VPN и маршрутизаторов. В этом году злоумышленники воспользовались пятью уязвимостями в продуктах Ivanti , а с начала 2024 года — 16.
Как отметили руководители других производителей устройств безопасности, Нейдерман заявил, что большинство уязвимостей SonicWall, использованных злоумышленниками в этом году, затрагивают устаревшие технологии. «Эти уязвимости в основном связаны с устаревшими устройствами VPN или SSL/VPN, которые стали целью злоумышленников большинства производителей в отрасли», — сказал он.
«Рост числа активно эксплуатируемых уязвимостей в сфере кибербезопасности в этом году также отражает более общую проблему отрасли», — сказал Нейдерман. «Мы полагаем, что рост активности обусловлен сочетанием атак на устройства SMA (VPN) со стороны злоумышленников, поскольку устройства VPN многих производителей упоминались в новостях как уязвимые».
Приведут ли уязвимости к тому, что SonicWall станет безопасным по умолчанию?
Однако SonicWall не выполняет одно обязательство по повышению безопасности своей продукции. Компания не подписала обязательство CISA по обеспечению безопасности через проектирование , которое федеральное агентство обнародовало в прошлом году, чтобы публично побудить поставщиков взять на себя большую ответственность за безопасность своей продукции.Под этим обязательством подписались более 300 компаний, включая практически всех основных поставщиков сетевых устройств, среди которых Palo Alto Networks, Cisco, Fortinet, Ivanti, Barracuda, Citrix и Check Point Software Technologies .
Добровольное публичное обязательство обязывает поставщиков включать в свои технологии проверенные функции безопасности по умолчанию. Это включает многофакторную аутентификацию, сокращение числа паролей по умолчанию и целых классов уязвимостей, которые можно предотвратить в больших масштабах, а также усилия по увеличению числа установок обновлений безопасности клиентами.
«SonicWall реализовала все основные принципы, определенные в обязательстве по обеспечению безопасности посредством проектирования, и полностью поддерживает его цели, а также официально начала процесс», — заявил Нейдерман.
По словам Нейдермана, новейшие устройства безопасности шлюзов компании включают функции безопасности по умолчанию. В прошлом году компания SonicWall объявила о завершении поддержки устаревших VPN-устройств серии SMA 100, а недавно развернула управляемый защитный пакет в качестве лицензии и сервиса брандмауэра по умолчанию, чтобы обеспечить правильную настройку и соответствие лучшим практикам, добавил он.
«Неуправляемые и необновлённые устройства создают серьёзную проблему», — сказал Нейдерман. «Управляемые межсетевые экраны снижают риск нарушений из-за недавно обнаруженных уязвимостей».
Нейдерман сообщил, что SonicWall намерена официально подписать соглашение, но он не уточнил, когда это произойдет, и не объяснил, почему этого еще не произошло.
