Lỗ hổng CVE nghiêm trọng trên SonicWall SMA1000: Khẩn cấp vá!

Lỗ hổng CVE nghiêm trọng trên SonicWall SMA1000: Khẩn cấp vá!

SonicWall đã công bố hai lỗ hổng CVE nghiêm trọng ảnh hưởng đến dòng thiết bị truy cập từ xa SMA1000 Series. Đáng chú ý, các tác nhân đe dọa đã tích cực khai thác zero-day một trong số chúng trước khi thông tin cảnh báo công khai, cho thấy mức độ nguy hiểm và sự cấp bách của tình hình.

Tổng Quan về Các Lỗ Hổng CVE

Các lỗ hổng được xác định bao gồm CVE-2026-15409, một lỗi giả mạo yêu cầu phía máy chủ (SSRF) cực kỳ nghiêm trọng. Lỗ hổng CVE này được đánh giá với điểm CVSS 10.0 tuyệt đối, thể hiện khả năng bị khai thác từ xa mà không cần xác thực, dẫn đến hậu quả nghiêm trọng.

Lỗ hổng thứ hai là CVE-2026-15410, một lỗi leo thang đặc quyền cục bộ (LPE) có mức độ nghiêm trọng cao. Lỗi này cho phép kẻ tấn công, sau khi đã có quyền truy cập ban đầu, nâng cao đặc quyền của mình lên cấp độ root trên hệ thống bị ảnh hưởng.

Cả hai lỗ hổng CVE này đều đã được bổ sung vào danh mục Known Exploited Vulnerabilities (KEV) của CISA. Việc đưa vào danh sách KEV là bằng chứng rõ ràng về các cuộc tấn công thực tế đang diễn ra, nhấn mạnh sự cần thiết của các biện pháp bảo mật tức thì.

Để hiểu rõ hơn về tính chất và chi tiết của từng lỗ hổng CVE, bạn có thể tham khảo:

  • Chi tiết CVE-2026-15409 tại NVD.
  • Chi tiết CVE-2026-15410 tại NVD.

Chi Tiết Kỹ Thuật Khai Thác Chuỗi Lỗ Hổng

Chuỗi khai thác bắt đầu bằng việc lợi dụng tính năng websocket proxy có tên /wsproxy, một phần của ứng dụng SonicWall WorkPlace được phục vụ qua cổng 443. Chức năng này ban đầu được thiết kế để tạo đường hầm lưu lượng TCP an toàn đến các máy chủ từ xa.

Tuy nhiên, những kẻ tấn công có thể thao túng tính năng này để điều hướng kết nối đến localhost. Điều này cho phép chúng truy cập vào các dịch vụ nội bộ của thiết bị SMA1000 mà lẽ ra không bao giờ được phép tiếp xúc trực tiếp với internet, tạo ra một điểm xâm nhập ban đầu.

Khai Thác Remote Code Execution (RCE) qua Cổng 1050

Từ điểm truy cập này, kẻ tấn công nhắm mục tiêu vào một tiến trình Erlang đặc biệt đang lắng nghe trên cổng 1050. Nghiên cứu sâu rộng của Rapid7 đã phát hiện ra một điểm yếu nghiêm trọng trong tiến trình này: nó sử dụng một cookie xác thực được mã hóa cứng.

Sự tồn tại của cookie này loại bỏ hoàn toàn nhu cầu về thông tin đăng nhập hợp lệ. Điều này cho phép kẻ tấn công thực thi mã tùy ý từ xa (remote code execution) trên thiết bị, một bước quan trọng trong việc chiếm quyền kiểm soát hệ thống mà không cần xác thực.

Leo Thang Đặc Quyền lên Root với CVE-2026-15410

Sau khi đạt được quyền remote code execution ban đầu, kẻ tấn công tiếp tục leo thang đặc quyền lên quyền truy cập root đầy đủ bằng cách khai thác CVE-2026-15410. Đây là một lỗ hổng CVE loại duyệt thư mục (path traversal flaw) được tìm thấy trong quy trình remove_hotfix.

Bằng cách cung cấp một đường dẫn tệp độc hại, ví dụ như ../../../../var/tmp/privesc, vào quy trình gỡ bỏ hotfix, hệ thống sẽ bị lừa để truy cập và thực thi các tập lệnh do kẻ tấn công kiểm soát. Vì quy trình này chạy với các đặc quyền cao, mã độc sẽ được thực thi với quyền root, thường dẫn đến việc thiết bị tự động khởi động lại như một phần của chuỗi khai thác.

# Minh họa khái niệm khai thác leo thang đặc quyền (Path Traversal)
# Lỗ hổng nằm trong cách hệ thống xử lý đường dẫn tệp trong chức năng 'remove_hotfix'.
# Thay vì chỉ xóa tệp trong thư mục hotfix quy định,
# kẻ tấn công có thể sử dụng ký tự '..' để thoát khỏi thư mục đó.

# Giả định một yêu cầu API để gỡ bỏ hotfix:
# POST /api/v1/hotfix/remove
# Content-Type: application/json
# Body:
# {
#   "filename": "../../../../var/tmp/privesc"
# }

# Khi hệ thống xử lý yêu cầu này, nó sẽ cố gắng thực thi một lệnh như:
# rm /app/hotfixes/../../../../var/tmp/privesc
# Hoặc thực thi một script tại vị trí đó, ví dụ:
# sh /app/hotfixes/../../../../var/tmp/privesc.sh

# Nếu kẻ tấn công đã ghi được một shell script độc hại vào '/var/tmp/privesc.sh'
# thông qua lỗ hổng RCE trước đó, script này sẽ được chạy với quyền 'root'.
# Điều này cho phép kẻ tấn công thực hiện bất kỳ hành động nào trên hệ thống,
# bao gồm cài đặt backdoor, đánh cắp dữ liệu, hoặc thay đổi cấu hình hệ thống.

Hệ Thống Bị Ảnh Hưởng và Không Ảnh Hưởng

Các lỗ hổng CVE này ảnh hưởng đến các mẫu SMA1000 Series sau của SonicWall:

  • SMA 6210
  • SMA 7210
  • SMA 8200v

Chúng đặc biệt dễ bị tổn thương khi chạy các phiên bản firmware nhất định, bao gồm nhưng không giới hạn ở 12.4.3-0343412.5.0-02800.

Điều quan trọng cần lưu ý là chức năng SSL VPN của SonicWall firewalls và toàn bộ dòng SMA 100 Series không bị ảnh hưởng bởi các lỗ hổng CVE này. Điều này giúp các quản trị viên tập trung nỗ lực vá lỗi vào các thiết bị cụ thể có nguy cơ.

Hành Vi Tấn Công Sau Khi Xâm Nhập

Nhóm nghiên cứu của Rapid7 đã quan sát thấy các tác nhân đe dọa sử dụng các thiết bị SMA1000 bị xâm nhập như những điểm vào ẩn danh và kiên trì vào các mạng lưới doanh nghiệp. Các thiết bị này trở thành cầu nối để thực hiện các hành vi tấn công sâu hơn.

Sau khi thiết lập được chỗ đứng, kẻ tấn công đã tiến hành thu thập thông tin xác thực nhạy cảm, dữ liệu phiên và hạt giống TOTP MFA (Time-based One-Time Password Multi-Factor Authentication). Những thông tin này cực kỳ giá trị để duy trì quyền truy cập và vượt qua các biện pháp bảo mật khác.

Với các thông tin bị đánh cắp, chúng trực tiếp chuyển hướng vào các môi trường Active Directory, nhằm mục đích mở rộng phạm vi kiểm soát và truy cập vào các tài nguyên quan trọng trong mạng lưới của nạn nhân.

Các nhà điều tra bảo mật đã ghi nhận các mô hình đăng nhập bất thường, bao gồm các xác thực từ các tên thiết bị không phải của công ty như “kali“. Những đăng nhập này có nguồn gốc từ chính thiết bị SMA1000 bị xâm nhập mà không có phiên VPN hoạt động, đây là dấu hiệu rõ ràng cho thấy thiết bị đã bị biến thành một cửa hậu không được giám sát và bị lạm dụng.

Để biết thêm chi tiết về phân tích kỹ thuật và các quan sát về hành vi tấn công, bao gồm các chỉ số thỏa hiệp (IOC) liên quan, bạn có thể tham khảo bài viết chuyên sâu của Rapid7: Rapid7 Blog.

Phản Ứng Khẩn Cấp và Khuyến Nghị Vá Lỗi

Mức độ nguy hiểm của các lỗ hổng CVE này được khuếch đại bởi sự xuất hiện của một mã khai thác PoC (Proof-of-Concept) công khai cho CVE-2026-15409.

Mã PoC này có thể được tìm thấy trên GitHub.

Ngoài ra, một module Metasploit được báo cáo đang trong quá trình phát triển. Sự sẵn có của các công cụ khai thác này đồng nghĩa với việc các nỗ lực tấn công và khai thác zero-day có khả năng sẽ gia tăng nhanh chóng và rộng khắp.

Với tác động là khả năng thực thi mã từ xa không cần xác thực và leo thang lên quyền root, các tổ chức đang sử dụng thiết bị SMA1000 nên coi việc vá lỗi là một trường hợp khẩn cấp tuyệt đối, không phải là một chu kỳ cập nhật định kỳ. Việc trì hoãn có thể dẫn đến hệ thống bị xâm nhập nghiêm trọng.

Các lỗ hổng CVE này thể hiện một rủi ro bảo mật cao cần được giải quyết ngay lập tức để ngăn chặn các cuộc tấn công mạng gây ra bởi hoạt động khai thác zero-day. Bảo vệ hệ thống của bạn là ưu tiên hàng đầu.

Việc cập nhật các bản vá bảo mật mới nhất từ SonicWall là vô cùng quan trọng để bảo vệ hệ thống trước các mối đe dọa này và duy trì an ninh mạng. Các quản trị viên cần theo dõi sát sao các thông báo từ nhà cung cấp và áp dụng các bản vá ngay lập tức.