Inc ransomware wykorzystuje luki zero-day w SonicWall SMA 1000 do przejęcia dostępu - Security Bez Tabu

Inc ransomware wykorzystuje luki zero-day w SonicWall SMA 1000 do przejęcia dostępu

Cybersecurity news

Wprowadzenie do problemu / definicja

Urządzenia brzegowe odpowiadają dziś za kontrolę zdalnego dostępu do zasobów firmowych, dlatego ich kompromitacja może szybko przełożyć się na pełnoskalowy incydent bezpieczeństwa. Najnowszy przypadek dotyczy platform SonicWall SMA 1000, w których ujawniono dwie podatności zero-day wykorzystywane przez operatorów Inc ransomware do uzyskania dostępu, eskalacji uprawnień i przygotowania środowiska pod dalszy atak.

Szczególnie niebezpieczne jest to, że mowa o systemie znajdującym się na styku Internetu i sieci wewnętrznej. Jeśli taki appliance zostanie przejęty, napastnik może zyskać uprzywilejowany punkt wejścia do organizacji, a następnie wykorzystać go do kradzieży danych uwierzytelniających, ruchu lateralnego i wdrożenia ransomware.

W skrócie

  • 14 lipca 2026 r. ujawniono dwie luki w SonicWall SMA 1000: CVE-2026-15409 oraz CVE-2026-15410.
  • Pierwsza podatność to krytyczny SSRF niewymagający uwierzytelnienia.
  • Druga umożliwia iniekcję kodu i wykonywanie poleceń na poziomie systemu operacyjnego.
  • Luki były aktywnie wykorzystywane jako zero-day przez podmiot powiązany z Inc ransomware.
  • Atakujący mieli kraść poświadczenia, aktywne sesje oraz dane związane z mechanizmami jednorazowego logowania.
  • Producent opublikował hotfix i zalecił jego natychmiastowe wdrożenie.

Kontekst / historia

SonicWall SMA 1000 to platforma zdalnego dostępu klasy enterprise, wykorzystywana przez organizacje jako bezpieczny punkt pośredniczący między użytkownikami zewnętrznymi a zasobami wewnętrznymi. Tego typu rozwiązania od lat pozostają atrakcyjnym celem dla grup cyberprzestępczych, ponieważ łączą wysokie uprawnienia, dostęp do tożsamości użytkowników oraz bezpośrednią ekspozycję na Internet.

W tym przypadku istotne znaczenie ma fakt, że podatności nie były jedynie problemem teoretycznym. W momencie ich ujawnienia istniały już przesłanki potwierdzające aktywne wykorzystanie w realnych atakach. To wpisuje się w szerszy trend, w którym urządzenia brzegowe i systemy zdalnego dostępu coraz częściej pełnią rolę initial access brokerów dla kampanii ransomware.

Dodatkowo oba identyfikatory zostały powiązane z realnym ryzykiem operacyjnym, ponieważ atakujący wykorzystywali przejęte appliance’e nie tylko do jednorazowego wejścia do sieci, ale również do przygotowania kolejnych etapów ataku. Oznacza to, że naruszenie urządzenia mogło stanowić początek dłuższej i bardziej złożonej operacji obejmującej kradzież tożsamości oraz eskalację uprawnień w środowisku domenowym.

Analiza techniczna

CVE-2026-15409 to podatność typu server-side request forgery w webowym interfejsie Work Place. Jej znaczenie wynika z faktu, że nie wymaga uwierzytelnienia. W praktyce pozwala to napastnikowi wymuszać żądania z poziomu samego appliance’u do usług wewnętrznych lub zasobów, które normalnie nie byłyby osiągalne z zewnątrz. Taki mechanizm może zostać użyty do obejścia części barier sieciowych i wykorzystania zaufania, jakim urządzenie cieszy się wobec innych komponentów infrastruktury.

CVE-2026-15410 dotyczy Appliance Management Console i umożliwia iniekcję kodu prowadzącą do wykonywania dowolnych poleceń systemowych. Sama luka wymaga dostępu do interfejsu administracyjnego, jednak w łańcuchu ataku nabiera szczególnego znaczenia, ponieważ może służyć do dalszej eskalacji i przejęcia kontroli nad systemem operacyjnym urządzenia.

Najgroźniejszy scenariusz wynika z połączenia obu błędów w jeden spójny łańcuch ataku. Napastnik może rozpocząć od SSRF bez uwierzytelnienia, następnie uzyskać możliwość wykonania kodu, a finalnie przejść do eskalacji uprawnień aż do poziomu root. Taki przebieg oznacza pełną kontrolę nad appliance’em, w tym nad jego konfiguracją, sesjami użytkowników oraz danymi uwierzytelniającymi przetwarzanymi przez system.

Z opublikowanych obserwacji wynika również, że operatorzy zagrożenia pozyskiwali poświadczenia, aktywne sesje oraz dane związane z jednorazowymi kodami logowania. To szczególnie istotne, ponieważ umożliwia nie tylko chwilowy dostęp, ale także zwiększa szansę na utrzymanie persystencji i obchodzenie części mechanizmów MFA. Kolejnym etapem był ruch boczny, zwłaszcza w kierunku kontrolerów domeny, co jest klasycznym przygotowaniem do wdrożenia ransomware na większą skalę.

Konsekwencje / ryzyko

Skala ryzyka jest wysoka z kilku powodów. Po pierwsze, chodzi o urządzenie perymetryczne, które z definicji jest wystawione na kontakt z Internetem. Po drugie, jedna z luk nie wymaga uwierzytelnienia, a druga umożliwia wykonanie poleceń systemowych. Po trzecie, aktywność została powiązana z operatorem ransomware, co sugeruje bezpośredni motyw finansowy i możliwość zastosowania modelu podwójnego wymuszenia.

Dla organizacji oznacza to ryzyko szyfrowania danych, eksfiltracji informacji, przejęcia kont uprzywilejowanych oraz zakłócenia ciągłości działania. Niebezpieczny jest również scenariusz, w którym urządzenie zostało skompromitowane przed wdrożeniem poprawki. W takiej sytuacji samo załatanie podatności może nie wystarczyć, jeśli atakujący zdążył pozostawić mechanizmy persystencji lub przejąć inne elementy infrastruktury.

W praktyce zagrożone są nie tylko same appliance’e, ale również cała architektura tożsamości i zdalnego dostępu. Przejęcie sesji, sekretów MFA i poświadczeń może skutkować długotrwałym naruszeniem bezpieczeństwa, które będzie trudne do wykrycia bez pełnej analizy śledczej.

Rekomendacje

Organizacje korzystające z SonicWall SMA 1000 powinny potraktować ten przypadek jako incydent wysokiego priorytetu. Wdrożenie hotfixu producenta jest konieczne, ale nie powinno być uznawane za jedyne działanie naprawcze. Równie ważne jest potwierdzenie, czy urządzenie nie zostało skompromitowane przed aktualizacją.

  • Niezwłocznie wdrożyć dostępny hotfix na wszystkich urządzeniach SonicWall SMA 1000.
  • Przeprowadzić pilną inwentaryzację appliance’ów dostępnych z Internetu.
  • Ograniczyć ekspozycję interfejsów administracyjnych i zweryfikować zasady dostępu.
  • Przeanalizować logi pod kątem nietypowych żądań do interfejsu Work Place oraz prób wykonywania poleceń systemowych.
  • Sprawdzić zmiany w konfiguracji, kontach administracyjnych i ustawieniach uwierzytelniania.
  • Wykonać rotację poświadczeń użytkowników i kont uprzywilejowanych, szczególnie przy podejrzeniu wycieku sesji lub danych MFA.
  • Zweryfikować kontrolery domeny i systemy krytyczne pod kątem ruchu lateralnego.
  • Przeprowadzić analizę śledczą urządzenia przed i po aktualizacji, aby wykluczyć persystencję.
  • Ograniczyć zaufanie do urządzeń brzegowych zgodnie z podejściem assume breach i zasadą najmniejszych uprawnień.

W środowiskach o podwyższonym profilu ryzyka warto również rozszerzyć monitoring o dodatkowe reguły detekcyjne dla systemów VPN, platform zdalnego dostępu i innych urządzeń perymetrycznych. To właśnie te elementy coraz częściej stają się pierwszym etapem operacji ransomware.

Podsumowanie

Przypadek SonicWall SMA 1000 pokazuje, że urządzenia zdalnego dostępu pozostają jednym z najbardziej wrażliwych punktów infrastruktury przedsiębiorstwa. Połączenie SSRF bez uwierzytelnienia z podatnością umożliwiającą wykonanie poleceń systemowych stworzyło skuteczny łańcuch prowadzący do przejęcia appliance’u i dalszej penetracji sieci.

Najważniejszy wniosek dla zespołów bezpieczeństwa jest prosty: samo łatanie nie wystarczy, jeśli wcześniej mogło dojść do kompromitacji. Konieczne są równolegle trzy działania: natychmiastowe wdrożenie poprawek, weryfikacja śladów naruszenia oraz pełna ocena, czy atakujący nie utrzymali trwałego dostępu do środowiska.

Źródła

  • Dark Reading — Inc Ransomware Exploits SonicWall SMA Zero-Days — https://www.darkreading.com/vulnerabilities-threats/inc-ransomware-exploits-sonicwall-sma-zero-days
  • SonicWall Security Advisory — SNWLID-2026-0018 — https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2026-0018
  • CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • Rapid7 Blog — SonicWall SMA 1000 Rapid Response for Exploited Zero-Day Vulnerabilities — https://www.rapid7.com/blog/post/2026/07/15/etr-sonicwall-sma-1000-rapid-response-exploited-zero-day-vulnerabilities/