São Paulo — InkDesign News — SonicWall corrigiu três vulnerabilidades críticas em seus dispositivos de acesso seguro unificado, incluindo uma já explorada em ambiente real, podendo conceder controle total do aparelho a atacantes.
Vetor de ataque
As falhas afetam os appliances Secure Mobile Access (SMA) série 100, abrangendo modelos SMA 200, 210, 400, 410 e 500v, nas versões 10.2.1.14-75sv e anteriores. O vetor de ataque inicial envolve o CVE-2025-32819, uma vulnerabilidade que permite a exclusão arbitrária do arquivo principal SQLite do dispositivo, sem necessidade de estar autenticado no aparelho, desde que o atacante tenha acesso a uma conta, mesmo com baixa permissão, e senha exposta em vazamentos. A exclusão do banco de dados força a reinicialização do dispositivo, que redefine a senha da conta administrativa para “password”.
O exploit pode ser estendido pelas vulnerabilidades CVE-2025-32820, que torna qualquer diretório do appliance acessível para escrita por todos usuários, e CVE-2025-32821, que possibilita a inserção e execução de código malicioso com privilégios de root.
Impacto e resposta
Essas vulnerabilidades comprometem a integridade e segurança dos dispositivos da SonicWall, amplamente utilizados para acesso remoto corporativo, expondo redes internas a invasões e controle total dos aparelhos afetados. A agência Cybersecurity and Infrastructure Security Agency (CISA) incluiu duas vulnerabilidades antigas da SonicWall em seu catálogo Known Exploited Vulnerabilities (KEV), evidenciando a alta criticidade do cenário.
A SonicWall publicou um boletim recomendando atualização imediata para a versão 10.2.1.15-81sv, ativação de firewalls de aplicação web (WAF), verificação de acessos não autorizados e uso de autenticação multifator (MFA) local ou via diretórios corporativos.
Análise e recomendações
“Isso frequentemente acontece quando há algum tipo de proxy na comunicação entre equipes de produto e pesquisadores de segurança, ou talvez a pesquisa inicial foque em um aspecto específico da exploração que não é traduzido para as equipes de desenvolvimento. Neste caso, a ideia poderia ter sido corrigir a causa raiz, mas eles optaram por adicionar uma verificação de autenticação.”
(“This often happens when there’s some sort of proxy in place for communication between product teams and security researchers, or perhaps the initial security research [around a vulnerability] puts a focus on a certain aspect of exploitation, and that doesn’t translate to the product teams. In this case, the idea might have been to patch that underlying root cause, but I think they took a reasonable stab at it by adding authentication.”)— Ryan Emmons, pesquisador de segurança, Rapid7
“Os fornecedores geralmente enfrentam pressão para fornecer correções muito específicas em um curto espaço de tempo para vulnerabilidades como esta. Isto não reflete negativamente a SonicWall, que está fazendo o esperado por seus clientes.”
(“Vendors are, generally speaking, under quite a lot of pressure to provide very, very narrowly tailored patches in a very short span of time for vulnerabilities like this. Certainly it’s not a poor reflection on SonicWall in any way that they are trying to do what their customers expect of them within a very short period of time. This is pretty common.”)— Caitlin Condon, diretora de inteligência de vulnerabilidades, Rapid7
Recomenda-se que empresas mantenham suas versões atualizadas, reforcem a autenticação multifator em todos os acessos VPN e monitorem atividades suspeitas para evitar compromissos de dispositivos e redes corporativas.
O caso reforça a necessidade contínua de avaliações profundas e mitigação proativa em dispositivos de acesso remoto, essenciais para a infraestrutura crítica empresarial.
Mais sobre Segurança Cibernética | Atualizações sobre Ameaças
Fonte: (Dark Reading – Segurança Cibernética)
