Alerta cibernético

SonicWall alerta para exploração ativa de falhas críticas na VPN SMA100

01/05/2025 07:30

A SonicWall, empresa especializada em soluções de segurança digital, emitiu um novo alerta urgente direcionado aos usuários de seus dispositivos da linha Secure Mobile Access (SMA). De acordo com a companhia, duas vulnerabilidades graves — agora confirmadas como exploradas em ataques reais — afetam diretamente os dispositivos VPN SMA100.

Falhas na VPN SMA100 da SonicWall estão sendo exploradas por cibercriminosos

Duas falhas críticas em evidência

As vulnerabilidades em questão são catalogadas como CVE-2023-44221 e CVE-2024-38475, ambas marcadas como “potencialmente exploradas na prática”, segundo boletins atualizados pela empresa na última terça-feira.

A CVE-2023-44221 se refere a uma falha de injeção de comandos no sistema de gerenciamento da interface SSL-VPN, permitindo que invasores com credenciais administrativas injetem comandos arbitrários usando permissões mínimas (usuário “nobody”).

Já a CVE-2024-38475 está associada ao módulo mod_rewrite do Apache HTTP Server (versão 2.4.59 e anteriores). Essa falha, considerada crítica, pode ser explorada por atacantes remotos não autenticados para obter execução de código no servidor por meio do mapeamento indevido de URLs para diretórios sensíveis do sistema de arquivos.

Modelos afetados e atualização recomendada

As falhas comprometem os seguintes modelos de dispositivos SMA:

SMA 200
SMA 210
SMA 400
SMA 410
SMA 500v

A SonicWall recomenda fortemente a instalação imediata do firmware versão 10.2.1.14-75sv ou superior, que já contém os patches corretivos.

Exploração em andamento e novas técnicas identificadas

Segundo a SonicWall, análises conduzidas em parceria com empresas especializadas em cibersegurança revelaram que a CVE-2024-38475 também pode ser explorada para sequestro de sessão a partir do acesso não autorizado a determinados arquivos internos.

Além disso, há indícios concretos de que a falha CVE-2023-44221, classificada como “injeção de comandos no sistema operacional pós-autenticação”, também está sendo explorada de forma ativa. A equipe de resposta a incidentes da SonicWall (PSIRT) orienta os administradores a revisar os registros de autenticação dos dispositivos para identificar tentativas de login suspeitas.

Outras falhas antigas voltam à ativa

A preocupação aumenta com a descoberta de que uma vulnerabilidade corrigida há quase quatro anos — a CVE-2021-20035 — também foi reativada em ataques recentes contra dispositivos VPN da série SMA100. De acordo com a empresa de segurança Arctic Wolf, essa falha vem sendo explorada desde janeiro de 2025.

A CISA (Cybersecurity and Infrastructure Security Agency), agência do governo dos EUA, adicionou a CVE-2021-20035 ao seu catálogo de vulnerabilidades conhecidas exploradas, exigindo ação imediata das agências federais para mitigar os riscos.

Histórico recente reforça urgência

Em janeiro, outra falha crítica nos gateways SMA1000 foi explorada em ataques de dia zero, e em fevereiro a empresa relatou uma brecha de autenticação ativa nos firewalls das gerações Gen 6 e Gen 7 — permitindo o sequestro de sessões de VPN.

O que os administradores devem fazer agora

Diante do cenário, é essencial que profissionais de TI:

Atualizem imediatamente o firmware para a versão mais recente;
Realizem auditorias de segurança em seus dispositivos SMA;
Monitorem registros de autenticação para identificar atividades incomuns;
Sigam as recomendações do PSIRT e da CISA para contenção de ameaças.

Jardeson Márcio

Mais Notícias

Mais artigos

Segurança digital

Coinbase corrige falha que causava alerta falso de invasão

A Coinbase anunciou a correção de um erro nos registros de atividades de suas contas que confundiu muitos usuários, levando-os a pensar que suas credenciais haviam sido comprometidas. No início de abril, o BleepingComputer revelou que o sistema da plataforma classificava incorretamente tentativas de login com senhas inválidas como falhas de autenticação de dois fatores […]

Segurança digital

Rootkits exploram falha grave no io_uring do Linux para evitar detecção

Uma falha crítica na arquitetura de segurança do Linux está permitindo que rootkits operem de maneira furtiva em sistemas, burlando soluções tradicionais de monitoramento. O problema está ligado ao io_uring, uma interface do kernel que agiliza operações de entrada e saída de forma assíncrona, sem o uso das tradicionais chamadas de sistema. Falha crítica no […]

Segurança digitalasus corrige falha crítica que permite bloqueio remoto de servidores

ASUS corrige falha crítica que permite bloqueio remoto de servidores

A ASUS anunciou uma importante atualização de segurança para corrigir uma vulnerabilidade crítica no controlador de gerenciamento de placas-mãe (BMC) MegaRAC, desenvolvido pela American Megatrends International (AMI). A falha, identificada como CVE-2024-54085, permite que hackers assumam o controle remoto de servidores e executem ações potencialmente destrutivas. Essa vulnerabilidade afeta o MegaRAC BMC, um software amplamente […]

Fraude digital

Rede Scallywave explora plugins WordPress para gerar bilhões de fraudes publicitárias

Uma investigação da empresa de segurança HUMAN revelou uma elaborada operação de fraude digital denominada Scallywave, que explorava plugins do WordPress para lucrar com impressões falsas de anúncios. Essa rede operava por meio de sites voltados à pirataria e serviços de encurtamento de URL, movimentando um impressionante volume de 1,4 bilhão de solicitações publicitárias fraudulentas […]

Alerta Cibernético

Vulnerabilidade antiga em VPN SonicWall volta a ser usada em ataques reais

CISA confirma que vulnerabilidade crítica nos dispositivos VPN SonicWall está sendo explorada em ataques ativos. Correção imediata é recomendada para evitar comprometimentos.

Alerta crítico

Falha grave no Apache Roller expõe sessões ativas a invasores

Uma falha no Apache Roller permite que sessões antigas permaneçam ativas após alteração de senha, abrindo caminho para acessos não autorizados. A correção veio apenas na versão 6.1.5.