A SonicWall emitiu um alerta para administradores de rede sobre três falhas de segurança críticas que atingem os dispositivos da linha Secure Mobile Access (SMA). Segundo a empresa, uma dessas vulnerabilidades já está sendo usada por cibercriminosos em ataques direcionados.
As falhas, catalogadas como CVE-2025-32819, CVE-2025-32820 e CVE-2025-32821, foram descobertas pelo pesquisador Ryan Emmons, da Rapid7, e afetam os modelos SMA 200, 210, 400, 410 e 500v. Elas podem ser exploradas em sequência, permitindo que invasores obtenham execução remota de código como root em sistemas não atualizados.
A SonicWall já disponibilizou uma correção por meio do firmware versão 10.2.1.15-81sv ou superior. A empresa reforça que a aplicação dessa atualização é fortemente recomendada para mitigar os riscos.
Encadeamento das falhas
O processo de ataque descrito pela Rapid7 envolve:
- Exclusão do banco de dados SQLite principal e redefinição da senha do administrador (CVE-2025-32819).
- Gravação na pasta /bin, utilizando falha de travessia de diretório (CVE-2025-32820).
- Execução de código malicioso como root, explorando a falha final (CVE-2025-32821).
Esse encadeamento dá ao invasor controle total do sistema SMA, podendo comprometer a infraestrutura da organização. O alerta é ainda mais preocupante porque os indicadores de comprometimento (IOCs) analisados sugerem que essa cadeia de ataques já foi usada em incidentes reais.
Notícias Relacionadas
Ameaça digital
Falha crítica no OttoKit permite invasores criarem contas administrativas em sites WordPress
Uma vulnerabilidade grave recentemente identificada no plugin OttoKit, anteriormente conhecido como SureTriggers, está sendo explorada por cibercriminosos para obter controle total de sites WordPress comprometidos. A falha permite a criação de contas administrativas sem autenticação prévia, afetando diretamente mais de 100 mil sites que utilizam o plugin para automação e integração com serviços externos. A […]
Cibersegurança crítica
SysAid corrige brechas graves que permitiam ataques remotos antes do login
Uma nova série de vulnerabilidades descobertas no software SysAid, amplamente utilizado para gerenciamento de serviços de TI (ITSM), acendeu um alerta no setor de cibersegurança. As falhas afetam diretamente a versão local da plataforma e possibilitam a execução remota de código (RCE) mesmo antes da autenticação do usuário — um dos cenários mais críticos em […]
Medidas preventivas
Além da atualização imediata do firmware, a SonicWall recomenda:
- Habilitação de firewall de aplicação web (WAF) nos dispositivos SMA.
- Implementação de autenticação multifator (MFA) para dificultar acessos não autorizados.
- Análise detalhada dos registros de login, em busca de atividades suspeitas.
Histórico de falhas críticas
Este não é um caso isolado. Em meses recentes, outras falhas nos dispositivos SMA da SonicWall foram identificadas e exploradas:
- CVE-2023-44221 e CVE-2024-38475, usadas para injetar comandos e executar código remotamente.
- CVE-2021-20035, associada a ataques avançados desde janeiro de 2025.
- Uma falha zero-day nos gateways SMA1000 também foi explorada em janeiro deste ano, seguida por outra vulnerabilidade de bypass de autenticação em firewalls das séries Gen 6 e Gen 7.
Com esse histórico recorrente de vulnerabilidades críticas, a SonicWall reforça a necessidade de monitoramento constante, resposta rápida a alertas de segurança e manutenção de atualizações em dia como elementos essenciais para proteger redes corporativas.
