Ако използвате SonicWall SMA 1000 за отдалечен достъп, спрете веднага. Атакуващите експлоатират активно две zero-day уязвимости в момента, а водещата цифра (CVSS 10.0) дори не е най-страшното. Крадат вашите TOTP MFA seeds още преди да разберете, че са влезли.
Два пропуска, една верига: как атакуващите влизат
На 14 юли SonicWall пусна спешен съвет за две уязвимости в серията SMA 1000. CVE-2026-15409 е критичен SSRF бъг в Workplace интерфейса, който не изисква аутентикация. Перфектна десетка по скалата на CVSS. CVE-2026-15410 е code injection пропуск след аутентикация с CVSS 7.2. Поотделно всяка е лоша новина. В комбинация дават на атакуващите пълен контрол над устройството, започвайки от абсолютно нищо.
Екипът на Rapid7 MDR забеляза експлоатация в клиентски логи още от 9 юли, дни преди официалното предупреждение. Атакуващите са засичани да извличат credentials, session данни и TOTP MFA seeds, след което да преминават във вътрешните мрежи. MFA bypass-ът е това, което прави случая различен. Дори да спазвате всички правила с 2FA, тази атака не я интересува.
Защо това удря най-силно малкия бизнес
SMA 1000 серията (модели 6210, 7210, 8200v) е навсякъде в по-малките IT среди. Това е устройството, което купихте за VPN достъп, това, в което екипът ви влиза всяка сутрин. Ако имате такова, атакуващите вероятно вече го сканират.
CISA добави и двата пропуска в каталога си с Known Exploited Vulnerabilities в рамките на 48 часа. Федералните агенции имаха срок до днес, 17 юли, да го пачнат. Ако американското правителство третира това като извънредна ситуация, вашият бизнес също трябва.
Какво да направите веднага
Hotfix билдове 12.4.3-03453 и 12.5.0-02835 са достъпни от портала за поддръжка на SonicWall. Ето ви контролен списък:
- Обновете незабавно. Приложете hotfix-а сега. Не чакайте следващия прозорец за поддръжка.
- Сменете всички credentials, преминали през SMA 1000. Сесии, служебни акаунти, VPN credentials, всичко.
- Нулирайте MFA токените. Приемете, че TOTP seeds са компрометирани. Пререгистрирайте всички потребители с нови seeds.
- Проверете за persistence. Прегледайте логовете на SMA 1000 за необичайни admin сесии или промени в конфигурацията от началото на юли насам.
- Одитирайте за странично придвижване. Ако устройството е компрометирано, третирайте вътрешната си мрежа като потенциално пробита. Търсете аномални изходящи връзки или нови admin акаунти.
Това не е тренировка. CVSS 10.0, пропуск без нужда от аутентикация, който заобикаля MFA и вече се експлоатира активно. По-спешно от това не става.
Ако не сте сигурни, че екипът ви има капацитет да се справи точно сега, или искате втори чифт очи върху логовете на SMA 1000, можем да помогнем.
Заявете 30-минутен спешен разговор
Без ангажимент, без продажби. Само бърза оценка на ситуацията.