A SonicWall instou seus clientes a atualizarem seus dispositivos Secure Mobile Access (SMA) para corrigir três vulnerabilidades de segurança, sendo uma delas identificada como explorada em ataques.
Descobertas e relatadas pelo pesquisador de cibersegurança da Rapid7, Ryan Emmons, as três falhas de segurança (
CVE-2025-32819
,
CVE-2025-32820
e
CVE-2025-32821
) podem ser encadeadas por atacantes para obter execução remota de código como root e comprometer instâncias vulneráveis.
As vulnerabilidades afetam os dispositivos SMA 200, SMA 210, SMA 400, SMA 410 e SMA 500v, e estão corrigidas na versão do firmware 10.2.1.15-81sv ou superior.
"A SonicWall recomenda enfaticamente aos usuários dos produtos da série SMA 100 (SMA 200, 210, 400, 410 e 500v) para atualizarem para a versão de lançamento fixa mencionada, a fim de endereçar essas vulnerabilidades", disse a SonicWall em um comunicado na quarta-feira(08).
A exploração bem-sucedida do
CVE-2025-32819
permite aos atores de ameaças apagar o banco de dados SQLite primário, redefinir a senha do usuário admin padrão do SMA e se logar como admin na interface web do SMA.
Em seguida, eles podem explorar a vulnerabilidade de path traversal
CVE-2025-32820
para tornar a pasta /bin gravável e, então, obter execução de código remoto como root explorando o
CVE-2025-32821
.
"Um atacante com acesso a uma conta de usuário SMA SSLVPN pode encadear essas vulnerabilidades para tornar um diretório de sistema sensível gravável, elevar seus privilégios para administrador do SMA e escrever um arquivo executável em um diretório de sistema.
Esse encadeamento resulta em execução de código remoto em nível de root", disse a Rapid7.
Baseando-se em IOCs conhecidos (privados) e investigações de resposta a incidentes da Rapid7, acreditamos que essa vulnerabilidade pode ter sido usada em ataques na vida real.
A SonicWall aconselhou os administradores a verificar os logs de seus dispositivos SMA em busca de sinais de logins não autorizados e a ativar o firewall de aplicativo web e a autenticação multifator (MFA) em seus aparelhos SMA100 como uma medida de segurança.
Na semana passada, a SonicWall alertou os clientes de que duas outras vulnerabilidades (
CVE-2023-44221
e
CVE-2024-38475
) afetando os dispositivos SMA estão sendo ativamente exploradas em ataques para injetar comandos e executar código remotamente.
A empresa também sinalizou outra falha de alta gravidade (
CVE-2021-20035
) como explorada em ataques de execução remota de código visando dispositivos VPN SMA100 em abril.
Um dia depois, a empresa de cibersegurança Arctic Wolf revelou que o bug de segurança havia sido ativamente explorado desde pelo menos janeiro de 2025.
Em janeiro, a SonicWall também instou os administradores a corrigir uma falha crítica nos gateways de acesso seguro SMA1000 explorada em ataques de zero-day e, um mês depois, alertou sobre uma falha de bypass de autenticação sendo explorada ativamente, afetando as firewalls de geração Gen 6 e Gen 7 que permite a hackers sequestrar sessões VPN.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...