SonicWall ha instado a sus clientes a corregir tres vulnerabilidades de seguridad que afectan sus dispositivos de acceso móvil seguro (SMA), uno de ellos etiquetado como operado en los ataques.
Descubridos e informados por el investigador de ciberseguridad RAPID7 Ryan Emmons, los tres defectos de seguridad (CVE-2025-32819, CVE-2025-32820 y CVE-2025-32821) pueden ser chainados por los atacantes para ganar la ejecución del código remoto como una raíz y compromiso vulnerables.
Las vulnerabilidades tienen un impacto en los dispositivos SMA 200, SMA 210, SMA 400, SMA 410 y SMA 500V y se corrigen en la versión de firmware 10.2.1.15-81SV y más.
“Sonicwall asesora a los usuarios de los productos de la serie SMA 100 (SMA 200, 210, 400, 410 y 500 V) para ir a la versión fija mencionada para abordar estas vulnerabilidades”, “,”, “,”, “. Dijo Sonicwall En una opinión del miércoles.
La explotación exitosa de la CVE-2025-32819 permite a los interesados de amenaza eliminar la base de datos SQLite principal, restablecer la contraseña del usuario del usuario de forma predeterminada y conectarse como administrador a la interfaz web de SMA. Luego, pueden explotar la vulnerabilidad del cruce de la ruta CVE-2025-32820 para hacer que el archivo / bin redacte, luego obtenga la ejecución del código remoto como raíz explotando CVE-2025-32821.
“Un atacante que tiene acceso a una cuenta de usuario SMA SSLVPN puede encadenar estas vulnerabilidades para hacer que un sistema sea sensible a la escritura, aumentar sus privilegios al administrador de SMA y escribir un archivo ejecutable en un repertorio del sistema. Esta cadena lleva a la ejecución del código desde la raíz”, “,”, “,”, “,”. Dijo Rapid7.
“Según las encuestas conocidas (privadas) y RAPID7 en respuesta a los incidentes, creemos que esta vulnerabilidad puede haberse utilizado en la naturaleza”.
SonicWall aconsejó a los administradores que revisen los periódicos de sus dispositivos SMA para todos los signos de conexiones no autorizadas y activen el firewall de aplicaciones web y la autenticación multifactorial (MFA) en sus dispositivos SMA100 como medida de seguridad.
La semana pasada, Sonicwall advirtió a los clientes que otras dos vulnerabilidades (CVE-2023-44221 Y CVE-2024-38475) La asignación de dispositivos SMA ahora se usa activamente en ataques para inyectar comandos y ejecutar el código de forma remota.
La compañía informó otro defecto de alto gravedad (CVE-2021-20035) Como se explota en los ataques de ejecución de código distante, dirigido a los dispositivos VPN SMA100 en abril. Un día después, la compañía de ciberseguridad Arctic Wolf reveló que el Buckt de seguridad ha estado bajo explotación activa desde al menos enero de 2025.
En enero, SonicWall también instó a los administradores a corregir una falla crítica en las puertas de enlace de acceso seguras SMA1000 operadas durante los ataques de cero días, y un mes después, advirtió una autenticación de autenticación utilizada activamente que tiene un impacto en el Gen 6 y Gen 7 predeterminados que permite desviar las sesiones de VPN piratas.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.