Група загроз Google (GTIG) виявила, що зловмисники зламали пристрої SonicWall Secure Mobile Access (SMA), які використовуються для управління доступом мобільних пристроїв в корпоративних мережах. Ці пристрої вже вийшли з експлуатації, не отримують оновлень для підтримки стабільності та безпеки, проте багато організацій досі покладаються на них.
Зловмисники, відомі під назвою UNC6148, активно експлуатують ці вразливості. У своєму звіті GTIG рекомендує всім організаціям, які використовують SMA, провести аналіз на предмет компрометації. Важливо отримати образи дисків для судово-медичної експертизи, щоб уникнути втручання з боку руткіта, що встановлюється зловмисниками.
Деталі атак залишаються невідомими. Відомо, що зловмисники використовують злиті локальні облікові дані адміністратора для доступу до пристроїв. Серед можливих вразливостей, які можуть бути експлуатовані, є:
- CVE-2021-20038: Вразливість, що дозволяє неаутентифіковане виконання коду віддалено через уразливість у пам’яті.
- CVE-2024-38475: Вразливість в Apache HTTP Server, що дозволяє витягти бази даних облікових записів користувачів.
- CVE-2021-20035: Вразливість для аутентифікованого виконання коду, що активно експлуатується.
- CVE-2021-20039: Вразливість для аутентифікованого виконання коду, відзначена активним використанням для встановлення програм-вимагачів.
- CVE-2025-32819: Вразливість для видалення файлів, що дозволяє зловмисникам повернути стандартні облікові дані адміністратора.
Ця ситуація підкреслює важливість своєчасного оновлення та заміни застарілого обладнання для уникнення потенційних загроз безпеці.