Cảnh báo khẩn: Lỗ hổng SMA1000 Series nguy hiểm, hacker đang tấn công

Cảnh báo khẩn: Lỗ hổng SMA1000 Series nguy hiểm, hacker đang tấn công

SonicWall đã đưa ra cảnh báo bảo mật khẩn cấp về hai lỗ hổng nghiêm trọng ảnh hưởng đến dòng thiết bị SMA1000 Series. Công ty cảnh báo rằng kẻ tấn công đang tích cực khai thác các lỗ hổng này trong các cuộc tấn công thực tế, nhấn mạnh tầm quan trọng của việc theo dõi tin tức bảo mật mới nhất.

Lỗ Hổng Nghiêm Trọng Trên SonicWall SMA1000 Series

CVE-2026-15409: Lỗ Hổng Server-Side Request Forgery

Lỗ hổng nghiêm trọng nhất, được theo dõi là CVE-2026-15409, có điểm CVSS tối đa là 10.0. Lỗ hổng này có thể bị khai thác từ xa mà không yêu cầu xác thực, đặt ra một mối đe dọa đáng kể cho các tổ chức sử dụng các thiết bị bị ảnh hưởng.

Các thiết bị SonicWall SMA1000 bị ảnh hưởng bao gồm các model 6210, 7210 và 8200. Cụ thể, các bản phát hành platform-hotfix phiên bản 12.4.312.5.0 với các bản vá lỗi nhất định là mục tiêu của các cuộc tấn công này.

SonicWall đã làm rõ rằng các lỗ hổng này không ảnh hưởng đến dịch vụ SSL-VPN trên các sản phẩm tường lửa của họ hoặc dòng thiết bị SMA 100 Series. CVE-2026-15409 là một lỗ hổng Server-Side Request Forgery (SSRF) tồn tại trong giao diện SMA1000 Workplace.

Kẻ tấn công từ xa không được xác thực có thể khai thác lỗ hổng này để buộc một thiết bị dễ bị tấn công gửi yêu cầu đến các địa điểm nội bộ hoặc bên ngoài không mong muốn. Lỗ hổng SSRF có thể cho phép kẻ tấn công truy cập các dịch vụ thường không thể tiếp cận từ internet, thăm dò tài nguyên mạng nội bộ hoặc tạo điều kiện cho việc chiếm quyền kiểm soát hệ thống sâu hơn.

CVE-2026-15410: Lỗ Hổng Post-Authentication Code Injection

Vấn đề thứ hai, CVE-2026-15410, là một lỗ hổng post-authentication code injection trong Bảng điều khiển Quản lý Thiết bị SMA1000. Lỗ hổng này có điểm CVSS là 7.2.

Trong một số điều kiện nhất định, quản trị viên đã được xác thực có thể khai thác lỗ hổng này để thực thi các lệnh hệ điều hành tùy ý trên thiết bị. Mặc dù lỗ hổng này yêu cầu quyền truy cập của quản trị viên, nhưng nếu kẻ tấn công có được thông tin đăng nhập hoặc chiếm quyền một phiên quản trị, họ có thể chiếm quyền điều khiển hoàn toàn hệ thống bị ảnh hưởng.

Khai Thác Tích Cực và Khuyến Cáo Khẩn Cấp

Đội Phản ứng Sự cố Bảo mật Sản phẩm (PSIRT) của SonicWall đã điều tra nhiều sự cố liên quan đến việc khai thác tích cực các lỗ hổng này. Mặc dù công ty không tiết lộ chi tiết kỹ thuật về các tác nhân đe dọa hoặc các cuộc tấn công cụ thể, nhưng họ khẩn trương yêu cầu khách hàng cài đặt bản vá lỗi có sẵn ngay lập tức, vì hiện tại không có giải pháp thay thế nào.

Các tổ chức sử dụng các thiết bị bị ảnh hưởng nên nâng cấp thiết bị SMA1000 của họ lên phiên bản platform-hotfix 12.4.3-0345 trở lên cho nhánh 12.4.3, hoặc phiên bản 12.5.0-0283 trở lên cho nhánh 12.5.0. Bản vá lỗi có thể được truy cập thông qua cổng khách hàng MySonicWall.

Dấu Hiệu Nhận Biết Sự Xâm Nhập (Indicators of Compromise – IOC)

Quản trị viên nên xem xét nhật ký thiết bị và các tệp cấu hình để tìm dấu hiệu khai thác. SonicWall đã xác định các yêu cầu đáng ngờ đến /api/login hoặc /api/logout trả về phản hồi HTTP 200 trong tệp extraweb_access.log như là các chỉ số tiềm năng của sự xâm nhập.

Các yêu cầu đến /wsproxy với các tham số host đáng ngờ trả về phản hồi HTTP 101 cũng có thể biểu thị hoạt động độc hại. Các dấu hiệu cảnh báo khác bao gồm các mục rollback hotfix có tên giống như traversal đường dẫn trong tệp ctrl-service.log.

Quản trị viên nên kiểm tra tệp /var/lib/unit/conf.json để tìm các route liên quan đến /api/login hoặc /api/logout, vì các đường dẫn này không thuộc về cấu hình SMA1000 hợp pháp.

Nếu phát hiện bất kỳ bằng chứng nào về sự xâm nhập, SonicWall khuyến nghị định dạng lại các thiết bị phần cứng bị ảnh hưởng hoặc triển khai lại các thiết bị ảo. Các tổ chức cũng nên đặt lại tất cả mật khẩu người dùng và quản trị viên, cũng như đặt lại mã thông báo mật khẩu một lần theo thời gian để vô hiệu hóa các thông tin xác thực có thể đã bị đánh cắp.

Các Chỉ Số Của Sự Xâm Nhập (IOC) Cần Lưu Ý:

  • Yêu cầu đáng ngờ đến /api/login hoặc /api/logout trong extraweb_access.log với phản hồi HTTP 200.
  • Yêu cầu đến /wsproxy với các tham số host đáng ngờ trong extraweb_access.log với phản hồi HTTP 101.
  • Các mục rollback hotfix có tên giống như traversal đường dẫn trong ctrl-service.log.
  • Sự hiện diện của các route liên quan đến /api/login hoặc /api/logout trong tệp /var/lib/unit/conf.json.

SonicWall ghi nhận công lao của nhà nghiên cứu PSIRT Adam Babis vì đã báo cáo các lỗ hổng và cảm ơn Sean Koessel cùng Steven Adair từ Volexity đã hỗ trợ điều tra và giúp xác định thêm các chỉ số của sự xâm nhập.

Việc vá lỗi kịp thời và giám sát chặt chẽ các hệ thống là cực kỳ quan trọng để bảo vệ chống lại các cuộc tấn công mạng tinh vi.

Để cập nhật thêm thông tin về các mối đe dọa và phân tích lỗ hổng, độc giả có thể tham khảo nguồn tin tức bảo mật đáng tin cậy tại CISA Cybersecurity Advisories.