Le bogue affecte les interfaces de gestion des appareils d’accès mobile sécurisé SMA1000, permettant l’exécution de commandes de système d’exploitation arbitraires.
Un bogue critique dans la passerelle d’accès à distance de Sonicwall, Secure Mobile Access (SMA1000), est probablement utilisé dans des attaques zéro jour, permettant l’exécution de code distant (RCE) par des acteurs non authentifiés.
Le problème, suivi comme CVE-2025-23006, a reçu une note critique de CVSS 9.8 / 10 pour sa capacité à permettre la désérialisation de données non fiables ou malveillantes avant l’authentification.
«La désérialisation pré-authentification de la vulnérabilité des données non fidèles a été identifiée dans la console de gestion des appareils SMA1000 (AMC) et la console de gestion centrale (CMC), qui dans des conditions spécifiques pourraient potentiellement permettre à un attaquant non authentifié à distance d’exécuter les commandes d’arbitraire de l’ARBitrary», a déclaré Sonicwall dans dans les commandes de système d’exploitation arbitraire »dans Konicwall dans In Remo-Authenticated Out Commands Arbitrary OS », a déclaré Sonicwall dans In Remoteur Attaquant un avis.
La société a crédité la découverte à Microsoft Threat Intelligence Center (MSTIC) et a publié un hotfix pour le défaut.
Le bogue a des exploits zéro-jour
Sans révéler plus de détails, l’avis a reconnu l’existence d’une exploitation zéro-jours pour la faille.
« Sonicwall PSIRT a été informé d’une éventuelle exploitation active de la vulnérabilité référencée par les acteurs de la menace », a-t-il ajouté. « Nous conseillons fortement les utilisateurs du produit SMA1000 pour passer à la version de version HotFix pour aborder la vulnérabilité. »
S’exprimant sur l’exploitation de la vulnérabilité dans la volonté, l’ingénieur de sécurité principal de Boris Cipot chez Black Duck a déclaré: «Étant donné que nous vivons dans un monde où le travail à distance est une tendance générale, de tels incidents sont importants à suivre. La sécurisation des points d’accès mobile est l’un des points clés de la résilience des infrastructures d’entreprise. »
Les appareils SMA1000 offrent un accès à distance sécurisé et sont des cibles principales pour les attaquants, ce qui rend crucial pour les organisations d’appliquer rapidement des correctifs pour éviter les violations, a ajouté CIPOT.
L’équipe Microsoft peut révéler des détails supplémentaires sur l’exploitation à une date ultérieure.
Un patch est maintenant disponible
Le bogue affecterait toutes les versions du micrologiciel de la série SMA1000 jusqu’à 12.4.3-02854. Un hotfix a été publié avec la version 12.4.3-02854 et plus, selon l’avis.
Sonicwall a décrit une solution de contournement sous la forme de restriction de l’accès à des sources de confiance pour l’AMC et le CMC, si les correctifs immédiats ne sont pas possibles.
Élaborant de telles précautions, Casey Ellis, fondatrice de la plate-forme de cybersécurité de crowdsourced, Bugcrowd, a déclaré: «En plus de corriger, les organisations devraient s’assurer que les interfaces de gestion pour le SMA 1000, ou tout autre appareil, compte tenu de l’amorce de vulnérabilités, de recherche, de recherche, ou de tout autre appareil, compte tenu de l’amorce de vulnérabilités, de recherche, de recherche, et l’exploitation, ne sont pas accessibles au public. »
Dans un post X jeudi, l’équipe allemande d’intervention d’urgence informatique, CERT-Bund, a exhorté les responsables informatiques qui dirigeaient les systèmes affectés à appliquer rapidement des correctifs. Plusieurs chercheurs ont rapporté utiliser des moteurs de recherche d’exposition comme Shodan Search pour trouver plus de 2000 appareils SMA1000 exposés en ligne. Sonicwall, maintenant, a divulgué deux défauts de sécurité très exploitables en un mois, le premier étant le bogue SSLVPN de Sonicos a rapporté plus tôt en janvier que les attaquants pourraient utiliser pour le contournement de l’authentification.
