Blog Voicefy
Voltar ao site

SonicWall: Exploração Ativa de Múltiplas Vulnerabilidades em Dispositivos SMA 100

Por Mizael Xavier

Alerta de Segurança: Vulnerabilidades em Dispositivos SonicWall SMA 100 Sob Exploração Ativa

A SonicWall, empresa de cibersegurança, emitiu alertas sobre a exploração ativa de múltiplas vulnerabilidades em seus dispositivos Secure Mobile Access (SMA) da série 100. Essas falhas, se exploradas, podem permitir que invasores executem código remotamente, sequestrem sessões e comprometam totalmente os sistemas afetados. A criticidade dessas vulnerabilidades levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicionar algumas delas ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo ação imediata de agências federais e alertando organizações em todo o mundo.

Vulnerabilidades Críticas da SonicWall em Foco

Diversas vulnerabilidades foram identificadas e confirmadas como exploradas ativamente. Entre as mais recentes e preocupantes estão:

  • CVE-2023-44221: Uma vulnerabilidade de injeção de comando de alta gravidade na interface de gerenciamento SSL-VPN do SMA 100. Permite que um invasor autenticado com privilégios administrativos injete comandos arbitrários como usuário 'nobody'.
  • CVE-2024-38475: Classificada como crítica, esta falha reside em um escape inadequado de saída no mod_rewrite do Apache HTTP Server (versão 2.4.59 e anteriores). A exploração bem-sucedida pode permitir que invasores remotos não autenticados executem código ao mapear URLs para locais do sistema de arquivos permitidos pelo servidor. A SonicWall e parceiros de segurança identificaram que esta vulnerabilidade pode ser usada para acesso não autorizado a arquivos, possibilitando o sequestro de sessão.

A SonicWall e a CISA também destacaram a exploração ativa da CVE-2021-20035, uma falha que permite a um atacante autenticado remotamente injetar comandos como um usuário 'nobody' devido à neutralização inadequada de elementos especiais na interface de gerenciamento do SMA100. Inicialmente considerada de severidade média, a SonicWall elevou sua classificação para alta (CVSS 7.2) após confirmar seu potencial para execução remota de código. Os dispositivos afetados por essas vulnerabilidades incluem SMA 200, SMA 210, SMA 400, SMA 410 e SMA 500v.

Além disso, a empresa de cibersegurança Rapid7 descobriu e divulgou três novas vulnerabilidades (CVE-2025-32819, CVE-2025-32820 e CVE-2025-32821) que afetam os mesmos dispositivos da série SMA 100. Quando encadeadas, essas falhas podem permitir que um invasor com acesso a uma conta de usuário SSLVPN do SMA eleve privilégios para administrador e execute código remotamente com nível root. A Rapid7 acredita que a CVE-2025-32819 já pode ter sido explorada.

Impacto da Exploração das Vulnerabilidades da SonicWall

A exploração bem-sucedida dessas vulnerabilidades pode levar a consequências severas, incluindo:

  • Execução Remota de Código (RCE): Invasores podem executar comandos arbitrários no dispositivo comprometido.
  • Sequestro de Sessão: Permite que o invasor assuma o controle de sessões de usuários válidas.
  • Comprometimento Total do Sistema: O invasor pode obter controle total sobre o dispositivo afetado.
  • Acesso à Rede Corporativa: Uma vez que o dispositivo de acesso remoto é comprometido, os invasores podem se mover lateralmente pela rede corporativa.
  • Roubo de Dados Sensíveis: Informações confidenciais armazenadas ou acessíveis através do dispositivo podem ser exfiltradas.
  • Negação de Serviço (DoS): Em alguns casos, a exploração pode levar à interrupção dos serviços do firewall.

Vulnerabilidades Adicionais da SonicWall e Recomendações

Pesquisas anteriores da Bishop Fox revelaram que um grande número de firewalls SonicWall (NGFW) séries 6 e 7 estavam vulneráveis a duas falhas (CVE-2022-22274 e CVE-2023-0656) que poderiam levar a DoS e RCE. Ambas são vulnerabilidades de estouro de buffer baseadas em pilha no SonicOS, exploráveis por meio de requisições HTTP por um invasor remoto não autenticado. Embora a SonicWall tenha publicado correções, um número significativo de dispositivos permaneceu desatualizado e exposto.

A SonicWall recomenda enfaticamente que os clientes apliquem imediatamente as atualizações de firmware mais recentes em todos os dispositivos afetados. Além disso, é crucial revisar os logs dos dispositivos SMA para garantir que não houve logins não autorizados. Outras medidas de mitigação incluem:

  • Gerenciamento de Vulnerabilidades: Estabelecer e manter um processo para identificar e corrigir vulnerabilidades.
  • Segmentação de Rede: Isolar sistemas críticos e limitar o acesso.
  • Princípio do Menor Privilégio: Conceder apenas as permissões necessárias para cada conta e serviço.
  • Monitoramento Contínuo: Acompanhar logs e atividades da rede para detectar comportamentos anômalos.
  • Testes de Penetração: Realizar testes regulares para identificar e corrigir falhas de segurança.
  • Limitar Acesso à Interface de Gerenciamento: Restringir o acesso à interface de gerenciamento de dispositivos SonicWall apenas a fontes confiáveis e desabilitar o acesso de fontes de internet não confiáveis.

A exploração ativa dessas vulnerabilidades ressalta a importância crítica de manter os dispositivos de segurança atualizados e de implementar uma postura de segurança robusta. As organizações devem priorizar a aplicação de patches e seguir as recomendações dos fabricantes e de agências de segurança para proteger seus ativos e dados.

Mizael Xavier

Mizael Xavier

Desenvolvedor e escritor técnico

Ver todos os posts

Compartilhar:

Posts relacionados