Mới đây, SonicWall đã cập nhật các khuyến cáo bảo mật cho các lỗ hổng bảo mật CVE-2023-44221 và CVE-2024-3847, gắn nhãn “có khả năng bị khai thác trong thực tế”.

CVE-2023-44221 (điểm CVSS: 7,2) được mô tả là lỗ hổng Command Injection có mức độ nghiêm trọng cao, lỗ hổng này tồn tại trong giao diện quản lý SMA100 SSL-VPN, cho phép kẻ tấn công có quyền quản trị viên chèn lệnh tùy ý với tư cách là người dùng “nobody”.

Lỗ hổng bảo mật thứ hai là CVE-2024-38475 (điểm CVSS: 9,8), được phân loại là lỗ hổng nghiêm trọng trong thành phần mod_rewrite của phiên bản Apache HTTP Server 2.4.59 trở về trước. Việc khai thác thành công có thể cho phép kẻ tấn công từ xa chưa xác thực thực thi mã bằng cách ánh xạ URL tới các vị trí hệ thống tệp của máy chủ.

Hai lỗ hổng bảo mật này ảnh hưởng đến các thiết bị SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v và đã được vá trong phiên bản phần mềm 10.2.1.14-75sv trở lên.

“Trong quá trình phân tích sâu hơn, SonicWall và các đối tác bảo mật đã xác định một kỹ thuật khai thác bổ sung sử dụng lỗ hổng CVE-2024-38475, qua đó truy cập trái phép vào một số tệp nhất định có thể cho phép chiếm quyền điều khiển phiên”, SonicWall cảnh báo trong một thông báo cập nhật.

Trong quá trình phân tích sâu hơn, các nhà nghiên cứu đã xác định rằng lỗ hổng CVE-2023-44221 - Post Authentication OS Command Injection có khả năng bị khai thác trong thực tế. SonicWall khuyến nghị khách hàng xem xét lại các thiết bị SMA của mình để đảm bảo không có bất kỳ lần đăng nhập trái phép nào.

Việc tiết lộ này được đưa ra vài tuần sau khi Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung một lỗ hổng bảo mật khác ảnh hưởng đến các cổng SonicWall SMA 100 Series (CVE-2021-20035, điểm CVSS: 7.2) vào danh mục Lỗ hổng khai thác đã biết (KEV), dựa trên PoC về việc cuộc tấn công đang diễn ra.

Vào ngày 01/5/2025, CISA đã thêm hai lỗ hổng bảo mật trên vào danh mục Lỗ hổng bảo mật đã biết (KEV), yêu cầu các cơ quan Liên bang áp dụng các bản vá trước ngày 22/5/2025.

Đầu tháng 4/2025, SonicWall đã đánh dấu một lỗ hổng nghiêm trọng khác đã được vá gần bốn năm trước và được theo dõi là CVE-2021-20035, hiện đang được khai thác tích cực trong các cuộc tấn công thực thi mã từ xa nhắm vào các thiết bị VPN SMA100. Sau đó, công ty an ninh mạng Arctic Wolf (Mỹ) cho biết lỗ hổng CVE-2021-20035 đã bị khai thác tích cực kể từ ít nhất tháng 01/2025 .

Trước đó vào tháng 01/2025, SonicWall đã khuyến cáo các quản trị viên cập nhập bản vá một lỗ hổng nghiêm trọng trên cổng truy cập SMA1000 đang bị khai thác trong các cuộc tấn công zero-day, một tháng sau đó công ty này tiếp tục đưa ra cảnh báo về một lỗ hổng vượt qua xác thực đang bị khai thác tích cực trong tường lửa Gen 6 và Gen 7, cho phép tin tặc chiếm quyền điều khiển các phiên VPN.