Η Sonicwall προέτρεψε τους πελάτες της να επιδιορθώσουν τρία ευπάθειες ασφαλείας που επηρεάζουν τις συσκευές ασφαλούς κινητής πρόσβασης (SMA), μία από τις οποίες έχει επισημανθεί ως εκμεταλλεύεται σε επιθέσεις.
Ανακαλύφθηκε και αναφέρθηκε από τον ερευνητή RAPID7 Cybersecurity Ryan Emmons, τα τρία ελαττώματα ασφαλείας (CVE-2025-32819, CVE-2025-32820 και CVE-2025-32821) μπορούν να αλιευθούν από τους επιτιθέμενους για να αποκτήσουν απομακρυσμένο κώδικα ως ρίζα και να συμβιβαστούν ευάλωτα περιπτώσεις.
Τα τρωτά σημεία επηρεάζουν τις SMA 200, SMA 210, SMA 400, SMA 410 και SMA 500V συσκευές και είναι patched στην έκδοση firmware 10.2.1.15-81SV και υψηλότερα.
“Η Sonicwall συμβουλεύει έντονα τους χρήστες των προϊόντων SMA 100 Series (SMA 200, 210, 400, 410 και 500V) για να αναβαθμίσουν την αναφερθείσα έκδοση σταθερής έκδοσης για την αντιμετώπιση αυτών των τρωτών σημείων”. Είπε ο Sonicwall Σε συμβουλευτική της Τετάρτης.
Η επιτυχής εκμετάλλευση του CVE-2025-32819 επιτρέπει στους ηθοποιούς απειλής να διαγράψουν την κύρια βάση δεδομένων SQLite, να επαναφέρουν τον κωδικό πρόσβασης του προεπιλεγμένου χρήστη SMA Admin και να συνδεθείτε ως διαχειριστής στη διεπαφή ιστού SMA. Στη συνέχεια, μπορούν να εκμεταλλευτούν την ευπάθεια CVE-2025-32820 διαδρομής διαδρομής για να κάνουν το φάκελο /bin φάκελο και στη συνέχεια να αποκτήσουν εκτέλεση απομακρυσμένου κώδικα ως ρίζα εκμεταλλευόμενοι το CVE-2025-32821.
“Ένας εισβολέας με πρόσβαση σε ένα λογαριασμό χρήστη SSLVPN SMA SSLVPN μπορεί να αλιεύσει αυτά τα τρωτά σημεία για να κάνει έναν ευαίσθητο κατάλογο συστήματος, να ανυψώσει τα προνόμιά τους στον διαχειριστή SMA και να γράψει ένα εκτελέσιμο αρχείο σε έναν κατάλογο συστήματος. Είπε ο Rapid7.
“Με βάση τις γνωστές (ιδιωτικές) ΔΟΕ και τις έρευνες RAPID7, πιστεύουμε ότι αυτή η ευπάθεια μπορεί να έχει χρησιμοποιηθεί στην άγρια φύση”.
Η SonicWall ενημέρωσε τους διαχειριστές να ελέγξουν τα αρχεία καταγραφής των συσκευών SMA για τυχόν σημάδια μη εξουσιοδοτημένων συνδέσεων και να επιτρέψουν το τείνουν τα τείχη προστασίας εφαρμογών ιστού και τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) στις συσκευές SMA100 ως μέτρο ασφαλείας.
Την περασμένη εβδομάδα, η Sonicwall προειδοποίησε τους πελάτες ότι δύο άλλα τρωτά σημεία (CVE-2023-44221 και CVE-2024-38475) Η επίδραση των συσκευών SMA εκμεταλλεύεται τώρα ενεργά σε επιθέσεις για την έγχυση εντολών και την εκτέλεση του κώδικα εξ αποστάσεως.
Η εταιρεία σημείωσε ένα άλλο ελάττωμα υψηλής έντασης (CVE-2021-20035) Όπως εκμεταλλεύεται σε επιθέσεις εκτέλεσης απομακρυσμένης κώδικα που στοχεύουν στις συσκευές SMA100 VPN τον Απρίλιο. Μια μέρα αργότερα, η εταιρεία Cybersecurity Arctic Wolf αποκάλυψε ότι το σφάλμα ασφαλείας ήταν υπό ενεργό εκμετάλλευση από τουλάχιστον τον Ιανουάριο του 2025.
Τον Ιανουάριο, ο Sonicwall προέτρεψε επίσης τους διαχειριστές να επιδιορθώσουν ένα κρίσιμο ελάττωμα στις ασφαλείς πύλες πρόσβασης SMA1000 που εκμεταλλεύονται τις επιθέσεις μηδενικής ημέρας και ένα μήνα αργότερα προειδοποίησε για μια ενεργά εκμεταλλευόμενη παράκαμψη ταυτότητας που επηρεάζει το Gen 6 και το Gen 7 Firewalls που επιτρέπει στους hackers να hijack VPN sessions.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
