A SonicWall está emitindo um alerta sobre uma vulnerabilidade de deserialização pré-autenticação nos consoles de gerenciamento SonicWall SMA1000 Appliance Management Console (AMC) e Central Management Console (CMC), com relatos de que ela foi explorada como um zero-day em ataques.
A falha, registrada como CVE-2025-23006 e classificada como crítica (pontuação CVSS v3: 9.8), poderia permitir que atacantes remotos não autenticados executassem comandos arbitrários do sistema operacional sob condições específicas.
A vulnerabilidade afeta todas as versões do firmware do aparelho SMA100 até 12.4.3-02804 (platform-hotfix).
A SonicWall destacou que recebeu relatórios de que a vulnerabilidade foi explorada como um zero-day em ataques.
"O SonicWall PSIRT foi notificado sobre a possível exploração ativa da vulnerabilidade referenciada por atores de ameaças", alerta o boletim.
Aconselhamos fortemente os usuários do produto SMA1000 a atualizarem para a versão de hotfix lançada para corrigir a vulnerabilidade.
O Centro de Inteligência de Ameaças da Microsoft descobriu a falha, portanto, mais detalhes sobre a atividade de exploração e seu início podem ser compartilhados pela Microsoft em uma data posterior.
Recomenda-se que os administradores de sistema atualizem para a versão 12.4.3-02854 (platform-hotfix) e posteriores para mitigar o risco.
A SonicWall esclareceu que o CVE-2025-23006 não impacta os produtos da série SMA 100, portanto, nenhuma ação é necessária para eles.
O time de Resposta a Emergências Computacionais da Alemanha, CERT-Bund, também emitiu um alerta em X pedindo aos administradores para instalarem as atualizações imediatamente.
O pesquisador da Macnica, Yutaka Sejiyama, informou que uma busca no Shodan mostra que 2.380 dispositivos SMS1000 estão expostos online atualmente.
Os SMA1000 são aparelhos de acesso remoto seguro comumente usados por organizações de grande porte para fornecer acesso VPN às redes corporativas.
Dado o papel crítico deles em empresas, agências governamentais e provedores de serviços essenciais, o risco de falhas não corrigidas neles é particularmente alto.
No início deste mês, a SonicWall alertou sobre uma perigosa falha de bypass de autenticação impactando aparelhos de firewall, registrada como
CVE-2024-53704
.
Ontem, pesquisadores da Bishop Fox publicaram um vídeo demonstrando a exploração do
CVE-2024-53704
, prometendo divulgar os detalhes completos em 10 de fevereiro de 2025.
"Embora um esforço significativo de engenharia reversa tenha sido necessário para encontrar e explorar a vulnerabilidade, o exploit em si é relativamente trivial", lê-se no post da Bishop Fox.
Enquanto isso, até ontem, a Bishop Fox relatou que mais de cinco mil dispositivos SonicWall suscetíveis ao
CVE-2024-53704
estão expostos na internet.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...