SonicOS SSLVPN’dagi xavfli zaiflik: Masofadan turib firewall’ni ishdan chiqarish mumkin

Kiberxavfsizlik olamida yana bir xavotirli xabar paydo bo‘ldi: SonicWall o‘zining SonicOS operatsion tizimidagi SSLVPN xizmatiga taalluqli xavfli stack-based buffer overflow zaifligini e’lon qildi. Ushbu nuqson yordamida hujumchi hech qanday autentifikatsiyasiz, faqat maxsus shakllantirilgan so‘rov yuborish orqali firewall’ni masofadan turib ishdan chiqarishi, ya’ni to‘liq Denial-of-Service (DoS) holatiga olib kelishi mumkin.

Mazkur zaiflik CVE-2025-40601 raqami bilan ro‘yxatga olingan bo‘lib, CVSS 7.5 (High Severity) darajasida baholangan. Zaiflik SonicWall’ning ichki xavfsizlik guruhi tomonidan aniqlangan va hozircha yovvoyi muhitda faol ekspluatatsiya holati qayd etilmagan.

Zaiflikning mohiyati nimada?

Muammo SonicOS’ning SSLVPN komponentida joylashgan bo‘lib, CWE-121: Stack-based Buffer Overflow toifasiga kiradi. Ya’ni hujumchi maxsus tuzilgan paketlarni yuborganda tizimdagi funksional bufer toshib, firewall’ning ishlashi izdan chiqadi.

Buning oqibatida:

  • tarmoq xavfsizligi boshqaruv interfeysi ishdan chiqadi;
  • foydalanuvchilarning VPN ulanishlari uziladi;
  • korxona infratuzilmasining tashqi himoya qatlami vaqtinchalik falaj bo‘ladi.

Eng qizig‘i — hujumchini hech qanday parol yoki autentifikatsiya talab qilinmaydi. Faqat SSLVPN interfeysi yoqilgan bo‘lsa bas.

Qaysi qurilmalar ta’sirlangan?

Zaiflik Gen7 va Gen8 avlodlaridagi keng turdagi SonicWall apparat va virtual firewall’larda aniqlangan.

Gen7 Hardware Firewalls

(TZ270, TZ370, TZ470, TZ570, TZ670, NSa 2700–6700, NSsp 10700–15700)

  • Zaif versiya: 7.3.0-7012 va undan oldingi
  • Tuzatilgan versiya: 7.3.1-7013 va undan yuqori

Gen7 Virtual Firewalls (NSv)

(NSv270, NSv470, NSv870 — ESX, KVM, Hyper-V, AWS, Azure)

  • Zaif: 7.3.0-7012 va oldingi
  • Tuzatilgan: 7.3.1-7013 va yuqori

Gen8 Firewalls

(TZ80–TZ680, NSa 2800–5800)

  • Zaif: 8.0.2-8011 va oldingi
  • Tuzatilgan: 8.0.3-8011 va yuqori

Eslatma:
SonicWall Gen6, SMA 1000/100 seriyalari bu zaiflikdan ta’sirlanmagan.

Korxonalar nima qilishi kerak?

SonicWall barcha tashkilotlarga tezkor yamoq o‘rnatish bo‘yicha qat’iy tavsiyalar berdi. Chunki bu turdagi zaifliklar ransomware guruhlari, davlat darajasidagi APT-lar, scanning botlar tomonidan juda tez ekspluatatsiya qilinishi bilan mashhur.

Tavsiya etilgan choralar:

  1. Tuzatilgan firmware versiyasiga zudlik bilan yangilash.
    Bu himoyalanishning eng ishonchli yo‘li hisoblanadi.
  2. SSLVPN’ga kirishni cheklash:
    • faqat ishonchli IP manzillar uchun ruxsat berish;
    • noma’lum manbalardan kirishni bloklash;
    • vaqtincha SSLVPN xizmatini tashqi tarmoqdan o‘chirish.
  3. Firewall loglarini chuqur tahlil qilish:
    – g‘ayrishaffof trafik, scanning, DoSga o‘xshash urinishlar bo‘lgan-bo‘lmaganini tekshirish.
  4. Tarmoq segmentatsiyasini mustahkamlash:
    – SSLVPN orqali ichki segmentlarga to‘g‘ridan-to‘g‘ri kirishni cheklash.
  5. Yamoqlar o‘rnashiga qadar vaqtinchalik himoya:
    – WAF yoki IPS orqali shubhali VPN so‘rovlarini filtrlash.

SonicOS SSLVPN’dagi CVE-2025-40601 zaifligi — “katta eshik emas, lekin kichik tirqish” misolida xavf tug‘diruvchi holat. Hech qanday autentifikatsiyasiz firewall’ni masofadan o‘chirib qo‘yish imkoniyati — kiberjinoyatchilar uchun juda qulay hujum nuqtasi.

Bugun bu zaiflikdan foydalanilmagani — ertaga ham xavfsiz bo‘ladi degani emas.

Shuning uchun har bir tashkilot:

  • tizimni yangilashi,
  • VPN interfeyslarini qayta ko‘rib chiqishi,
  • istemoldagi xavfsizlik siyosatini yangilashi zarur.

Kiberxavfsizlikda eng to‘g‘ri qoida shunday:
“O‘z vaqtida o‘rnatilgan bitta yamoq — yuzlab kiberhujumlardan yaxshiroq himoya qiladi.”