A SonicWall alertou seus clientes nesta quarta-feira (21) sobre a necessidade urgente de aplicar um patch para corrigir uma vulnerabilidade no SonicWall SMA1000 Appliance Management Console (AMC), explorada em ataques zero-day que permitem elevação de privilégios.
Identificada como CVE-2025-40602, essa falha local de segurança tem gravidade média e foi reportada por Clément Lecigne e Zander Work, do Google Threat Intelligence Group.
Importante destacar que a vulnerabilidade não afeta o SSL-VPN dos firewalls SonicWall.
A empresa recomenda enfaticamente que os usuários do SMA1000 atualizem para a versão hotfix mais recente para resolver o problema.
De acordo com o alerta oficial, atacantes remotos não autenticados combinaram essa vulnerabilidade com uma falha crítica de pré-autenticação por desserialização no SMA1000 (CVE-2025-23006), explorada em ataques zero-day.
Essa combinação possibilita a execução arbitrária de comandos no sistema operacional em condições específicas.
A CVE-2025-23006 recebeu pontuação alta de 9,8 na escala CVSS e permite a execução remota de código com privilégios root, sem necessidade de autenticação.
A correção para essa falha foi lançada na build 12.4.3-02854 (platform-hotfix), em 22 de janeiro de 2025.
Atualmente, a organização de monitoramento Shadowserver identifica mais de 950 dispositivos SMA1000 expostos diretamente à internet, embora parte já tenha sido atualizada para evitar essa cadeia de ataques.
O SMA1000 é um appliance de acesso remoto seguro, amplamente utilizado por grandes empresas para permitir acesso VPN às suas redes corporativas.
Devido ao papel crítico que desempenha em organizações empresariais, governamentais e de infraestrutura essencial, vulnerabilidades não corrigidas representam risco elevado de exploração.
No mês passado, a SonicWall associou grupos de hackers apoiados por estados a uma invasão ocorrida em setembro, que expôs arquivos de backup das configurações dos firewalls de clientes, poucos dias após a descoberta de mais de 100 contas SSLVPN comprometidas por credenciais roubadas.
Ainda em setembro, a empresa lançou uma atualização de firmware para auxiliar administradores de TI na remoção do malware rootkit OVERSTEP, que vem sendo implantado em ataques direcionados a dispositivos da série SMA 100.
Em agosto, a SonicWall negou rumores de que o grupo de ransomware Akira estaria explorando um possível zero-day para atacar firewalls de sétima geração.
Na ocasião, a empresa relacionou os incidentes a uma vulnerabilidade crítica (
CVE-2024-40766
), cuja correção foi disponibilizada em novembro de 2024.
Análises da empresa de cibersegurança Rapid7 e do Australian Cyber Security Center (ACSC) confirmaram posteriormente que o grupo Akira está, de fato, explorando a
CVE-2024-40766
para atacar dispositivos SonicWall não atualizados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...