São Paulo — InkDesign News — Pesquisadores de segurança cibernética da watchTowr identificaram exploração ativa das vulnerabilidades CVE-2024-38475 e CVE-2023-44221 em dispositivos SonicWall SMA 100, comprometendo sistemas críticos desde 2024 e exigindo aplicação imediata de patches.
Incidente e vulnerabilidade
Pesquisadores da watchTowr revelaram que agentes maliciosos estão explorando vulnerabilidades conhecidas em appliances SonicWall da série SMA 100, incluindo modelos SMA 200, 210, 400, 410 e 500v. A investigação começou após relatos de atividades suspeitas nos sistemas, culminando na identificação de duas falhas críticas: CVE-2024-38475, um problema no servidor Apache que permite leitura não autorizada de arquivos, e CVE-2023-44221, uma vulnerabilidade de injeção de comandos descoberta em 2023 pelo pesquisador Wenjie Zhong da DBappSecurity.
O exploit combina essas falhas para obter controle administrativo completo sobre os aparelhos. A primeira vulnerabilidade, conhecida como “Filename Confusion” e “DocumentRoot Confusion”, possibilita extrair informações sensíveis, como tokens de sessão de administradores, eliminando a necessidade de credenciais de login. Com acesso inicial, a falha de injeção de comandos permite executar comandos arbitrários no sistema, potencializando o sequestro de sessões e o controle total do dispositivo.
“These techniques are already being employed in real-world attacks, making immediate awareness and action critical for affected businesses.”
(“Essas técnicas já estão sendo usadas em ataques reais, tornando crítica a conscientização e ação imediata para empresas afetadas.”)— watchTowr, Pesquisa em segurança cibernética
Impacto e resposta
A exploração bem-sucedida dessas vulnerabilidades compromete a integridade, confidencialidade e disponibilidade dos appliances SonicWall SMA 100, colocando em risco redes corporativas e dados sensíveis. A capacidade de extrair tokens de sessão administrativos corresponde a um bypass direto das autenticações tradicionais. Mais grave ainda, a execução remota de comandos pode permitir que invasores implantem backdoors, manipulem configurações e exfiltrarem dados críticos.
A agência americana CISA (Cybersecurity and Infrastructure Security Agency) incluiu ambas as vulnerabilidades em sua lista de “Known Exploited Vulnerabilities” em 1º de maio de 2025, estabelecendo prazo até 22 de maio para que agências federais apliquem os corretivos. Esta ação oficial evidencia a gravidade e a disseminação dos ataques, que vêm sendo monitorados desde a descoberta da CVE-2024-38475 por Orange Tsai, especialista de renome, em 2024.
“CISA has mandated federal agencies to apply the patches by May 22, 2025, highlighting the urgency of securing SonicWall SMA100 devices.”
(“A CISA determinou que as agências federais apliquem os patches até 22 de maio de 2025, ressaltando a urgência de proteger os dispositivos SonicWall SMA100.”)— CISA, Agência de Segurança Cibernética dos EUA
Mitigações recomendadas
SonicWall já disponibilizou atualizações de firmware para corrigir as vulnerabilidades: CVE-2023-44221 foi reparada em dezembro de 2023 na versão 10.2.1.10-62sv, enquanto CVE-2024-38475 recebeu patch em dezembro de 2024 na versão 10.2.1.14-75sv ou superiores. Para prevenir ataques, recomenda-se absoluta prioridade na aplicação dessas correções, além de monitoramento constante de logs e atividades anômalas nas redes corporativas.
Além disso, a utilização da ferramenta Detection Artefact Generator, desenvolvida pela watchTowr, pode ajudar organizações a identificar vulnerabilidades exploradas e testar defesas internas. Práticas de segurança recomendadas incluem restringir acessos administrativos, segmentar redes e evitar exposição desnecessária dos appliances à internet pública.
A adoção rápida dessas medidas é também essencial para mitigar riscos residualizados oriundos da potencial cadeia de ataques que combinam leitura não autorizada e execução remota de comandos.
Fonte: (Hack Read – Segurança Cibernética)
