В современном мире кибербезопасности своевременное выявление и устранение уязвимостей является одной из ключевых задач для организаций и производителей программного обеспечения. Недавно компании Sophos и SonicWall сообщили об обнаружении и успешном исправлении критических уязвимостей, затрагивающих фаерволы Sophos и устройства серии SMA 100, широко используемые для защиты корпоративных сетей. Эти уязвимости позволяют злоумышленникам запускать удалённое выполнение кода, что может привести к серьёзным последствиям для безопасности инфраструктуры. Sophos выявил две главные уязвимости, затрагивающие Sophos Firewall. Первая известна под идентификатором CVE-2025-6704 и связана с функцией Secure PDF eXchange (SPX).
Она даёт возможность произвольно записывать файлы на устройство без аутентификации, что в случае определённой конфигурации и при работе в режиме высокой доступности может привести к удалённому выполнению вредоносного кода. Вторая серьёзная уязвимость — CVE-2025-7624 — представляет собой SQL-инъекцию в устаревшем SMTP-прокси, используемом для прозрачной маршрутизации электронной почты. Активная политика карантина электронной почты в сочетании с обновлением с версии старше 21.0 GA создаёт лазейку для атакующего, позволяющую взять под контроль систему. Помимо этих критических проблем Sophos устранил ещё несколько уязвимостей с высоким уровнем риска.
Среди них отмечается уязвимость CVE-2025-7382, связанна с компонентом WebAdmin, которая при включенной аутентификации с одноразовыми паролями (OTP) позволяет получить удалённое выполнение команд на вспомогательных устройствах в кластере высокой доступности. Также исправлены недочёты, связанные с бизнес-логикой Up2Date компонента (CVE-2024-13974) и пост-аутентификационная SQL-инъекция в WebAdmin (CVE-2024-13973), выявленные благодаря работе Национального центра кибербезопасности Великобритании (NCSC). Все отмеченные уязвимости затронули версии Sophos Firewall до 21.5 GA включительно, что подчёркивает важность регулярного обновления продуктов и оперативного применения патчей. Sophos настоятельно рекомендует всем пользователям немедленно обновить свои системы до последних версий, чтобы снизить риски компрометации и обеспечить бесперебойную защиту корпоративной сети.
Параллельно компания SonicWall объявила о критической ошибке безопасности в веб-интерфейсе управления устройств серии SMA 100. Уязвимость с идентификатором CVE-2025-40599 имеет высокий приоритет (CVSS 9.1) и позволяет атакующему, обладающему административными полномочиями, загружать произвольные файлы на устройство, что ведёт к потенциальному удалённому выполнению кода. Данная проблема затрагивает устройства SMA 210, 410, 500v и была устранена в обновлении версии 10.2.
2.1-90sv. Хотя официально сообщений о реальном использовании этой уязвимости не зафиксировано, в фоне стоит учитывать отчёт Google Threat Intelligence Group о работе группы UNC6148, которая задействовала полностью патченные устройства SMA для внедрения вредоносного ПО OVERSTEP. В связи с этим SonicWall рекомендует предпринять дополнительные меры безопасности. В частности, следует отключить удалённое управление через внешний интерфейс (X1), сбросить все пароли, повторно настроить OTP для всех пользователей и администраторов, а также включить многофакторную аутентификацию (MFA) и веб-аппликационный файрвол (WAF) на устройствах SMA.
Для пользователей виртуальных вариантов SMA 500v предусмотрена сложная процедура обновления, включающая резервное копирование файлов OVA, экспорт конфигураций и последующую переустановку новой версии с полным восстановлением настроек. Эти рекомендации направлены на устранение риска сохранения уязвимости через оставшиеся компоненты или настройки виртуальной среды. Обнаружение и исправление таких серьёзных уязвимостей подчёркивает важность поддержания безопасности на всех уровнях инфраструктуры. Для организаций, использующих продукты Sophos и SonicWall, крайне важно не только вовремя устанавливать обновления, но и внимательно мониторить логи и историю соединений, чтобы выявлять признаки необычной активности и своевременно реагировать на потенциальные угрозы. Активное внедрение комплексных стратегий безопасности, включая многослойную аутентификацию и ограничение доступа, позволит минимизировать возможности злоумышленников использовать подобные уязвимости.
В условиях постоянно растущего числа кибератак и усложняющихся методов взлома, производители программного обеспечения активно сотрудничают с исследователями и государственными организациями, чтобы выявлять и быстро исправлять уязвимости. Так, правительственный Национальный центр кибербезопасности Великобритании сыграл ключевую роль в обнаружении ряда проблем в Sophos Firewall, что демонстрирует эффективность подобного взаимодействия. В конечном счёте, успешная защита корпоративных сетей зависит от комплексного подхода и подготовки. Пользователям Sophos и SonicWall рекомендуется регулярно отслеживать официальные уведомления, своевременно внедрять обновления безопасности и применять дополнительные меры защиты, включая MFA и аудит действий администраторов. Только всестороннее внимание к деталям позволяет создавать надёжный барьер против современных угроз.
Учитывая серьёзность обнаруженных уязвимостей и их потенциальное влияние на критическую инфраструктуру, специалисты по информационной безопасности должны уделять приоритетное внимание управлению рисками, связанным с фаерволами и VPN-решениями. Использование проверенных, регулярно обновляемых продуктов безопасности, а также подготовка команды к быстрому реагированию на инциденты способны значительно снизить вероятность успешных атак и предотвратить разрушительные последствия. Таким образом, патчи Sophos и SonicWall не только закрывают опасные дыры в безопасности, но и служат напоминанием о необходимости постоянного контроля и подготовки к новым угрозам в сфере информационной безопасности. Организациям стоит рассматривать обновления как часть общей стратегии киберзащиты и не откладывать их внедрение, обеспечивая тем самым защиту своих данных и стабильность всей сети.
