Cảnh báo: Hai lỗ hổng Zero-day trên SonicWall SMA 1000 đang bị khai thác thực tế
SonicWall vừa phát đi cảnh báo khẩn cấp về hai lỗ hổng zero-day trên dòng thiết bị SMA 1000 đang bị tin tặc khai thác, trong đó có một lỗ hổng cho phép thực thi lệnh từ xa với quyền quản...
Hãng bảo mật SonicWall mới đây đã xác nhận việc các thiết bị thuộc dòng Secure Mobile Access (SMA) 1000 đang trở thành mục tiêu tấn công của tin tặc thông qua hai lỗ hổng zero-day nghiêm trọng. Đáng chú ý, một trong số đó có thể bị lợi dụng để thực thi mã lệnh tùy ý trên hệ thống.
Table Of Content
Chi tiết các lỗ hổng
- CVE-2026-15409 (Điểm CVSS: 10.0): Đây là lỗ hổng Server-side request forgery (SSRF). Kẻ tấn công từ xa không cần xác thực có thể lợi dụng lỗ hổng này để ép thiết bị gửi các yêu cầu đến những vị trí không mong muốn.
- CVE-2026-15410 (Điểm CVSS: 7.2): Lỗ hổng tiêm mã (code injection) nằm trong Appliance Management Console (AMC). Sau khi đã xác thực, kẻ tấn công có thể khai thác để thực thi các lệnh hệ điều hành dưới quyền quản trị viên (administrator).
Khuyến nghị từ nhà sản xuất
SonicWall đã ghi nhận nhiều trường hợp tấn công thực tế và yêu cầu khách hàng cần cập nhật bản vá ngay lập tức. Các phiên bản đã được khắc phục bao gồm:
- Phiên bản 12.4.3-03453 (platform-hotfix) trở lên.
- Phiên bản 12.5.0-02835 (platform-hotfix) trở lên.
Kiểm tra dấu hiệu bị xâm nhập (IoC)
Người dùng được khuyến cáo thực hiện kiểm tra pháp y kỹ thuật số (forensic analysis) trên hệ thống để tìm kiếm các dấu hiệu bất thường, bao gồm:
- Các yêu cầu truy cập
/__api__/loginhoặc/__api__/logoutvới mã trạng thái HTTP 200 trong tệpextraweb_access.log. - Các yêu cầu đến
/wsproxyvới tham số host đáng ngờ đi kèm mã trạng thái HTTP 101. - Sự xuất hiện của các đường dẫn traversal trong tệp
ctrl-service.logliên quan đến việc rollback hotfix. - Sự tồn tại của các route lạ trong tệp
/var/lib/unit/conf.json.
Nếu phát hiện dấu hiệu bị xâm nhập, quản trị viên cần thực hiện ngay việc cài đặt lại thiết bị (re-image), đổi toàn bộ mật khẩu người dùng/quản trị và reset các token xác thực hai lớp (OTP).
Hiện tại, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa hai lỗ hổng này vào danh mục các lỗ hổng bị khai thác phổ biến (KEV), buộc các cơ quan chính phủ liên bang phải hoàn tất việc vá lỗi trước ngày 17/07/2026.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.