Trung tâm An ninh Mạng Úc (ACSC) đã đưa ra cảnh báo khẩn cấp về một lỗ hổng CVE nghiêm trọng trong các thiết bị tường lửa SonicWall. Lỗ hổng này đang bị các tác nhân đe dọa tích cực khai thác.

Lỗ hổng được theo dõi với mã định danh CVE-2024-40766, ảnh hưởng đến chức năng quản lý SonicOS và SSLVPN trên nhiều thế hệ thiết bị SonicWall. Đây là một vấn đề kiểm soát truy cập không đúng cách.

Thông tin chi tiết về CVE-2024-40766

CVE-2024-40766 được phân loại là lỗ hổng kiểm soát truy cập không đúng cách (CWE-284). Nó có điểm CVSS v3.0 là 9.3, cho thấy mức độ nghiêm trọng cực cao.

Lỗ hổng này cho phép truy cập trái phép vào các tài nguyên hệ thống. Trong một số điều kiện cụ thể, nó có thể khiến các tường lửa bị ảnh hưởng ngừng hoạt động hoàn toàn.

SonicWall đã xác nhận lỗ hổng này không yêu cầu tương tác người dùng và có thể bị khai thác từ xa qua mạng.

Vector CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L cho thấy đặc điểm kỹ thuật của sự cố.

Cụ thể, kẻ tấn công có thể khai thác lỗ hổng này mà không cần xác thực (AV:N). Độ phức tạp tấn công thấp (AC:L), không yêu cầu đặc quyền (PR:N) hoặc tương tác người dùng (UI:N).

Phạm vi tác động đã thay đổi (S:C), nghĩa là lỗ hổng có thể ảnh hưởng đến các tài nguyên nằm ngoài thành phần dễ bị tổn thương. Mức độ tác động đến tính bảo mật là cao (C:H), trong khi tác động đến tính khả dụng là giới hạn (A:L).

Thông tin chi tiết về lỗ hổng CVE-2024-40766 có thể được tìm thấy tại nguồn đáng tin cậy: NVD.NIST.gov.

Các hệ thống và phiên bản SonicWall bị ảnh hưởng

Lỗ hổng CVE nghiêm trọng này ảnh hưởng đến một phạm vi rộng lớn các thiết bị SonicWall, trải dài qua ba thế hệ sản phẩm chính. Điều này nhấn mạnh mức độ rủi ro tiềm tàng.

Thiết bị Gen 5 SOHO

• Các thiết bị chạy SonicOS phiên bản 5.9.2.14-12o và các phiên bản cũ hơn đều bị ảnh hưởng.

Tường lửa Gen 6

• Các mẫu phổ biến như series TZ 300, TZ 400, TZ 500, TZ 600.
• Series NSA 2650-6650 và series SM 9200-9650.
• Các thiết bị này dễ bị tổn thương nếu chạy firmware phiên bản 6.5.4.14-109n và cũ hơn.

Thiết bị Gen 7

• Bao gồm các mẫu TZ270-670 và series NSa 2700-6700.
• Các phiên bản SonicOS build 7.0.1-5035 và cũ hơn đều nằm trong danh sách bị ảnh hưởng.

Phạm vi rộng lớn của các thiết bị bị ảnh hưởng cho thấy vấn đề bảo mật này có tính chất lan rộng trong danh mục sản phẩm của SonicWall.

Nguy cơ và mức độ nghiêm trọng của việc khai thác lỗ hổng

Cảnh báo bảo mật từ SonicWall SNWLID-2024-0015 nêu rõ rằng lỗ hổng CVE nghiêm trọng này “đang có khả năng bị khai thác trên thực tế”. Điều này đòi hỏi các tổ chức phải thực hiện các biện pháp khắc phục ngay lập tức.

Sự kết hợp giữa mức độ nghiêm trọng cao, khả năng khai thác từ xa, và hoạt động đe dọa chủ động khiến lỗ hổng này đặc biệt nguy hiểm. Các tổ chức dựa vào thiết bị SonicWall bị ảnh hưởng để đảm bảo an ninh mạng đang phải đối mặt với rủi ro cao.

Lỗ hổng kiểm soát truy cập không đúng cách có thể cho phép kẻ tấn công bỏ qua các cơ chế xác thực. Từ đó, chúng có thể giành quyền truy cập trái phép vào các tài nguyên mạng nhạy cảm.

Trong môi trường doanh nghiệp, việc khai thác lỗ hổng này có thể dẫn đến nhiều hậu quả nghiêm trọng. Bao gồm rò rỉ dữ liệu, di chuyển ngang trong mạng, và tiềm ẩn nguy cơ chiếm quyền điều khiển hệ thống hoàn toàn.

Các tổ chức cần nhận thức rõ rằng đây không chỉ là một lỗ hổng CVE nghiêm trọng trên lý thuyết. Nó là một mối đe dọa hiện hữu đang được các tác nhân độc hại tích cực nhắm đến.

Khuyến nghị và cập nhật bản vá khẩn cấp

Các tổ chức đang sử dụng thiết bị SonicWall bị ảnh hưởng phải ưu tiên cập nhật bản vá ngay lập tức. Đây là bước quan trọng nhất để giảm thiểu rủi ro từ lỗ hổng CVE nghiêm trọng này.

Các phiên bản firmware đã được cập nhật bản vá mới nhất hiện có sẵn thông qua cổng thông tin mysonicwall.com. SonicWall khuyến nghị mạnh mẽ việc cài đặt các bản vá càng sớm càng tốt.

Do tính chất bị khai thác tích cực và mức độ nghiêm trọng của lỗ hổng, việc trì hoãn cập nhật bản vá có thể khiến các tổ chức đối mặt với rủi ro an ninh mạng đáng kể.

Ngoài việc triển khai các bản vá, quản trị viên mạng cũng nên rà soát kỹ nhật ký tường lửa. Tìm kiếm bất kỳ hoạt động đáng ngờ nào và triển khai các biện pháp giám sát bổ sung trong khi các bản vá đang được triển khai trên toàn bộ hạ tầng.

Việc chủ động cập nhật bản vá và giám sát liên tục là chìa khóa để bảo vệ hệ thống khỏi những mối đe dọa đang hoạt động này.