حمله به فایروال‌های SonicWall پس از انتشار اکسپلویت PoC آن

هکرها این روزها در حال اکسپلویت یک آسیب ‌پذیری دور زدن مکانیزم احراز هویت با استفاده از کد PoC آن در فایروال‌های SonicWall هستند. شرکت Bishop Fox، دهم فوریه 2025، جزئیات فنی این آسیب ‌پذیری (CVE-2024-53704) را به همراه PoC آن منتشر کرد.

CVE-2024-53704، یک آسیب ‌پذیری در مکانیزم احراز هویت SSLVPN در سیستم‌عامل SonicOS است که توسط فایروال‌های SonicWall استفاده می‌شود. این آسیب ‌پذیری به مهاجمان این امکان را می‌دهد تا مکانیزم احراز هویت را دور بزنند و بدون نیاز به احراز هویت، به شبکه‌های هدف دسترسی پیدا کنند.

کمی پس از انتشار عمومی کد PoC این آسیب پذیری، Arctic Wolf شروع به مشاهده تلاش‌های سوءاستفاده از این آسیب‌ پذیری در فضای تهدیدات سایبری کرد. این PoC به هکرهای غیرمجاز و احراز هویت نشده این امکان را می‌دهد که MFA را دور بزنند، اطلاعات خصوصی را فاش کنند و نشست‌های VPN در حال اجرا را قطع نمایند.

به گفته Bishop Fox، طبق اسکن‌های اینترنتی در تاریخ 7 فوریه، حدود 4500 سرور SonicWall SSL VPN آسیب پذیر بصورت آنلاین قابل دسترس می‌باشند.

تاریخچه حملات حاکی از آن است که هکرها از آسیب ‌پذیری‌های دور زدن مکانیزم احراز هویت در فایروال‌ها و گیت وی‌های VPN برای استقرار باج‌افزار استفاده کرده‌اند! Arctic Wolf در اواخر سال 2024، مشاهده کرد که وابستگان باج‌افزار Akira ، اکانت‌های کاربری SSL VPN در دستگاه‌های SonicWall را به‌ عنوان یک روش دسترسی اولیه در حملات باج ‌افزاری خود هدف قرار داده‌اند.

Wolf در اکتبر هشدار داد که حداقل 30 نفوذ از طریق دسترسی از راه دور به اکانت‌های VPN فایروال‌های SonicWall آغاز شده است. Arctic Wolf با توجه به سهولت اکسپلویت آسیب پذیری و اطلاعات تهدید موجود، به شدت توصیه می‌کند که برای پچ آسیب ‌پذیری CVE-2024-53704 به فریمورک پچ ‌شده به‌روزرسانی شود.

این آسیب‌ پذیری که توسط CISA به عنوان بحرانی برچسب‌گذاری شده است، نسخه‌های 7.1.x (تا نسخه 7.1.1-7058)، 7.1.2-7019 و 8.0.0-8035 فریمور SonicOSرا تحت تأثیر قرار می‌دهد که در مدل‌های مختلف فایروال‌های Gen 6 و Gen 7 و دستگاه‌های سری SOHO استفاده می‌شوند.

اکسپلویت موفق این آسیب ‌پذیری به مهاجمان از راه دور این امکان را می‌دهد که نشست‌های فعال SSL VPN را بدون احراز هویت ربوده و به این ترتیب به شبکه هدف دسترسی غیرمجاز پیدا کنند. از این رو، SonicWall از مشتریان خود خواسته است که فوراً فریمور SonicOS فایروال‌های خود را به‌روزرسانی کنند.

جزئیات آسیب پذیری‌ CVE-2024-53704 و نسخه پچ آن به شرح زیر است:

مدل فایروال تحت تأثیر	نسخه Sonicos تحت تأثیر	نسخه Sonicos پچ شده
Gen7 Firewalls	7.1.x (نسخه 7.1.1-7058 و نسخه های قدیمی) و نسخه 7.1.2-7019.	نسخه 7.1.3-7015 و بالاتر
Gen7 NSv	7.1.x ( نسخه7.1.1-7058 نسخه های قدیمی) و نسخه 7.1.2-7019.	نسخه 7.1.3-7015 و بالاتر
TZ80	8.0.0-8035	نسخه 8.0.0-8037 و بالاتر

توجه: محصولات SonicWall SSL VPN سری SMA100 و SMA1000 تحت تأثیر CVE-2024-53704 قرار ندارند.

SonicWall همچنین توصیه کرده است چنانچه کاربران فعلا نمی‌توانند فریمور دستگاه‌های خود را به روزرسانی کنند، SSL VPN را غیرفعال نمایند و یا دسترسی به منابع و اینترفیس‌های مدیریت فایروال را محدود کنند.