SonicWall เร่งให้แก้ไขช่องโหว่ VPN ที่กำลังถูกโจมตีในปัจจุบัน

SonicWall ออกคำเตือนให้ลูกค้าแก้ไขช่องโหว่ความปลอดภัยสามรายการที่ส่งผลต่ออุปกรณ์ Secure Mobile Access (SMA) โดยพบว่าหนึ่งในนั้นกำลังถูกใช้โจมตีแล้วในปัจจุบัน

ช่องโหว่ทั้งสามรายการ (CVE-2025-32819, CVE-2025-32820 และ CVE-2025-32821) ถูกค้นพบและรายงานโดย Ryan Emmons นักวิจัยด้านความปลอดภัยไซเบอร์จาก Rapid7 โดยผู้โจมตีสามารถเชื่อมต่อช่องโหว่เหล่านี้เข้าด้วยกันเพื่อให้ได้มาซึ่งการรันโค้ดระยะไกลด้วยสิทธิ์ root และยึดควบคุมระบบที่มีช่องโหว่ได้ ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ SMA 200, SMA 210, SMA 400, SMA 410 และ SMA 500v และได้รับการแก้ไขแล้วในเฟิร์มแวร์เวอร์ชัน 10.2.1.15-81sv เป็นต้นไป

การโจมตีช่องโหว่ CVE-2025-32819 ที่ประสบความสำเร็จจะทำให้ผู้โจมตีสามารถลบฐานข้อมูล SQLite หลัก รีเซ็ตรหัสผ่านของผู้ใช้งาน admin เริ่มต้นของ SMA และเข้าสู่ระบบเป็น admin ไปยัง web interface ของ SMA จากนั้นพวกเขาสามารถใช้ประโยชน์จากช่องโหว่ path traversal CVE-2025-32820 เพื่อทำให้โฟลเดอร์ /bin สามารถเขียนได้ และได้รับการรันโค้ดระยะไกลในฐานะ root โดยใช้ประโยชน์จาก CVE-2025-32821

โดยนักวิจัยจาก Rapid7 ระบุว่าจากหลักฐานที่ทราบและการสืบสวนจากทีมตอบสนองต่อเหตุการณ์ของ Rapid7 เชื่อว่าช่องโหว่นี้อาจถูกใช้งานในโลกจริงแล้ว ด้าน SonicWall แนะนำให้ผู้ดูแลระบบตรวจสอบบันทึกของอุปกรณ์ SMA เพื่อหาสัญญาณของการเข้าสู่ระบบโดยไม่ได้รับอนุญาตและเปิดใช้งาน Web Application Firewall และการยืนยันตัวตนหลายปัจจัย (MFA) บนอุปกรณ์ SMA100 เพื่อเพิ่มมาตรการรักษาความปลอดภัย

ในสัปดาห์ที่ผ่านมา SonicWall ได้เตือนลูกค้าว่าช่องโหว่อื่นอีกสองรายการ (CVE-2023-44221 และ CVE-2024-38475) ที่ส่งผลกระทบต่ออุปกรณ์ SMA กำลังถูกใช้งานโจมตี เพื่อทำ command injection และรันโค้ดระยะไกล นอกจากนี้ บริษัทยังได้แจ้งเตือนช่องโหว่ความรุนแรงสูง (CVE-2021-20035) ว่ากำลังถูกใช้ในการโจมตีการรันโค้ดระยะไกลที่มุ่งเป้าไปที่อุปกรณ์ SMA100 VPN ในเดือนเมษายน

ที่มา: https://www.bleepingcomputer.com/news/security/sonicwall-urges-admins-to-patch-vpn-flaw-exploited-in-attacks/