SonicWall พบช่องโหว่บน SMA100 VPN ถูกใช้โจมตีแล้วในปัจจุบัน

SonicWall ออกคำเตือนเร่งด่วนแก่ลูกค้าว่าพบช่องโหว่หลายรายการบนอุปกรณ์ Secure Mobile Access (SMA) ถูกนำไปใช้โจมตีแล้ว ผู้ดูแลระบบควรอัปเดตเฟิร์มแวร์โดยเร็วที่สุด

SonicWall ได้แจ้งเตือนด้านความปลอดภัยเมื่อวันอังคารที่ผ่านมา โดยระบุว่าช่องโหว่ CVE-2023-44221 และ CVE-2024-38475 มีความเสี่ยงสูงและกำลังถูกใช้งานในการโจมตีจริง ช่องโหว่แรกเป็นประเภท command injection ที่มีความรุนแรงสูง เกิดจากการจัดการ special elements ที่ไม่เหมาะสมในหน้าจัดการ SMA100 SSL-VPN ทำให้ผู้โจมตีที่มีสิทธิ์ admin สามารถแทรกคำสั่งได้ตามใจ ส่วนช่องโหว่ที่สองเป็นปัญหาระดับ Critical เกิดจาก Apache HTTP Server ในเวอร์ชัน 2.4.59 และเก่ากว่า ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องยืนยันตัวตน และควบคุมระบบได้จากระยะไกล

จากการวิเคราะห์เพิ่มเติม SonicWall และพาร์ทเนอร์ด้านความปลอดภัยพบเทคนิคการโจมตีใหม่ผ่าน CVE-2024-38475 ที่อาจนำไปสู่การเข้าถึงไฟล์บางประเภทซึ่งอาจทำให้เกิดการขโมย session ได้ ทั้งสองช่องโหว่ส่งผลกระทบต่ออุปกรณ์ SMA 200, SMA 210, SMA 400, SMA 410 และ SMA 500v โดยสามารถแก้ไขได้ด้วยการอัปเดตเฟิร์มแวร์เป็นเวอร์ชัน 10.2.1.14-75sv หรือใหม่กว่า นอกจากนี้ เมื่อต้นเดือน SonicWall ยังได้แจ้งเตือนเกี่ยวกับช่องโหว่อีกตัวคือ CVE-2021-20035 ที่แม้จะได้รับการแก้ไขมาเกือบ 4 ปีแล้ว แต่ยังถูกใช้โจมตีตั้งแต่เดือนมกราคม 2025 ที่ผ่านมา ซึ่ง CISA ได้เพิ่มช่องโหว่นี้เข้าไปใน Known Exploited Vulnerabilities catalog พร้อมสั่งให้หน่วยงานรัฐบาลสหรัฐฯ ปกป้องเครือข่ายของตนโดยเร่งด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/sonicwall-sma100-vpn-vulnerabilities-now-exploited-in-attacks/