SonicWall a anunțat astăzi descoperirea unei vulnerabilități critice în SonicOS SSLVPN, care afectează anumite modele de firewall-uri Gen7 și Gen8 și poate provoca blocarea echipamentelor. Compania menționează istoricul recent al unor breșe și actualizări distribuite în ultimele luni, perioadă în care furnizorii de securitate cibernetică au trebuit frecvent să remedieze probleme identificate înainte de a fi exploatate pe scară largă.
Este vorba despre CVE-2025-40601, o eroare de tip stack-based buffer overflow în serviciul SSLVPN al SonicOS. Practic, o gestionare necorespunzătoare a memoriei permite unui atacator neautentificat să trimită date ce pot declanșa un Denial of Service, adică firewall-ul vulnerabil se poate opri sau reporni. SonicWall susține că, până în prezent, nu există dovezi că vulnerabilitatea a fost exploatată activ în natură și nu a fost publicat niciun proof-of-concept, dar recomandă intervenții rapide. De asemenea, compania precizează că modelele Gen6 și produsele SMA 1000 și SMA 100 series SSL VPN nu sunt afectate.
Lista echipamentelor vulnerabile este destul de extinsă: printre hardware-urile Gen7 se numără seria TZ (TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670), modelele NSa 2700, 3700, 4700, 5700, 6700 și platformele NSsp 10700, 11700, 13700, 15700. Pentru Gen7 virtual (NSv) sunt vizate NSv270, NSv470, NSv870 pe hypervizori precum ESX, KVM, Hyper-V și în cloud-uri AWS și Azure. Versiunea corectivă pentru aceste platforme este 7.3.1-7013 sau o versiune ulterioară. Pentru Gen8 (TZ80, TZ280, TZ380, TZ480, TZ580, TZ680 și NSa 2800, 3800, 4800, 5800) remediul se regăsește în versiunile 8.0.3-8011 sau mai recente. SonicWall recomandă instalarea actualizărilor imediat. Dacă un administrator nu poate aplica patch-ul imediat, măsuri temporare includ dezactivarea serviciului SonicOS SSLVPN sau restricționarea accesului la firewall doar din surse de încredere.
În plus, SonicWall a remediat două vulnerabilități din produsele Email Security (ES Appliance 5000, 5050, 7000, 7050, 9000, precum și variantele VMWare și Hyper-V). Una permitea execuție arbitrară și persistentă de cod de la distanță, notată CVE-2025-40604, iar cealaltă facilita accesul la informații restricționate, notată CVE-2025-40605. Compania îndeamnă utilizatorii acestor dispozitive să efectueze upgrade cât mai curând.
Contextul din ultimele luni recomandă prudență: în septembrie, SonicWall a confirmat că un grup de hacking susținut de un stat a fost responsabil pentru o breșă ce a expus fișiere de backup ale configurațiilor de firewall ale unor clienți. Aceasta a urmat avertismentelor cercetătorilor despre numeroase conturi SSLVPN compromise prin credențiale furate. Tot în septembrie a fost lansat și un firmware pentru eliminarea rootkit-ului OVERSTEP detectat în atacuri care vizau dispozitivele SMA 100 series. Aceste evoluții arată că furnizorii de echipamente de rețea trebuie să rămână vigilenți și să reacționeze prompt la semnalările de vulnerabilități.
Actualizările de software rămân cea mai sigură metodă de protecție. Dacă nu pot fi aplicate imediat, reducerea suprafeței de atac prin dezactivarea serviciilor vulnerabile sau permiterea accesului doar din rețele/trasee de încredere sunt măsuri temporare recomandate de SonicWall. Pentru echipele IT, aceasta înseamnă planificare: verificarea modelelor enumerate mai sus, confirmarea versiunilor de firmware și programarea instalărilor în ferestre de mentenanță pentru a minimiza impactul operațional.
CVE-2025-40601 și CVE-2025-40604/CVE-2025-40605 sunt identificatori concreți pentru probleme specifice în produse bine cunoscute: SonicOS SSLVPN și Email Security Appliance. Aplicați versiunile 7.3.1-7013 sau mai recente pentru Gen7 și 8.0.3-8011 sau mai recente pentru Gen8 și restricționați accesul dacă nu puteți actualiza imediat. Ce măsură veți prioritiza astăzi pentru a vă proteja echipamentele?
Fii primul care comentează