A SonicWall está instando seus clientes a atualizar os dispositivos da série SMA 100 contra uma vulnerabilidade crítica de upload de arquivo arbitrário com autenticação, que pode permitir que atacantes realizem execução de código remoto.
A falha de segurança (rastreada como
CVE-2025-40599
) é causada por uma fraqueza de upload de arquivo sem restrições na interface de gerenciamento web dos dispositivos, o que pode permitir que atores de ameaças remotas com privilégios administrativos façam upload de arquivos arbitrários no sistema.
"A SonicWall recomenda fortemente que os usuários dos produtos da série SMA 100 (SMA 210, 410 e 500v) façam upgrade para a versão fixa especificada para remediar essa vulnerabilidade", disse a empresa.
Esta vulnerabilidade não afeta os produtos da série SonicWall SSL VPN SMA1000 ou SSL-VPN que funcionam em firewalls da SonicWall.
Embora atacantes precisem de privilégios de admin para a exploração bem-sucedida da
CVE-2025-40599
e a SonicWall ainda não tenha encontrado evidências de que essa vulnerabilidade esteja sendo ativamente explorada, ela ainda alertou os clientes para protegerem seus dispositivos, já que os aparelhos SMA 100 já estão sendo alvo de ataques usando credenciais comprometidas.
Como os pesquisadores do Google Threat Intelligence Group (GTIG) alertaram na semana passada, um ator de ameaças desconhecido, rastreado como UNC6148, vem implantando um novo malware rootkit chamado OVERSTEP em dispositivos SonicWall SMA 100 Series totalmente atualizados.
O GTIG acredita que o UNC6148 se envolve em ataques de roubo de dados e extorsão, e pode também implantar o ransomware Abyss (também rastreado como VSOCIETY).
Ao investigar esses ataques, os investigadores encontraram evidências sugerindo que o ator de ameaças roubou as credenciais para o dispositivo visado em janeiro, explorando múltiplas vulnerabilidades (
CVE-2021-20038
,
CVE-2024-38475
,
CVE-2021-20035
,
CVE-2021-20039
,
CVE-2025-32819
).
A SonicWall "aconselhou fortemente" os clientes que usam appliances virtuais ou físicos SMA 100 a verificar se há indicadores de comprometimento (IoCs) no relatório da GTIG, procurando por acesso não autorizado e revisando os registros do appliance e o histórico de conexão quanto a atividades suspeitas.
Caso encontrem alguma evidência de comprometimento, os administradores são aconselhados a entrar em contato imediatamente com o Suporte da SonicWall para assistência.
Para proteger seus dispositivos, os usuários devem limitar o acesso remoto de gerenciamento em interfaces externas, redefinir todas as senhas e reinicializar a vinculação de OTP (Senha de Uso Único) para usuários e administradores.
Eles também devem impor a autenticação multifator (MFA) e habilitar o Firewall de Aplicativos Web (WAF).
No início deste ano, a SonicWall sinalizou outras vulnerabilidades de segurança exploradas em ataques direcionados a seus appliances Secure Mobile Access (SMA).
Em maio, a empresa pediu aos clientes para corrigirem três vulnerabilidades de segurança (
CVE-2025-32819
,
CVE-2025-32820
e
CVE-2025-32821
) que poderiam ser combinadas para obter execução de código remoto como root, uma das quais foi marcada como explorada em ataques.
Um mês antes, a SonicWall marcou outra falha no SMA100 (
CVE-2021-20035
) como explorada em ataques de execução de código remoto desde pelo menos janeiro de 2025.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...