SonicWall đã tung ra các bản vá để khắc phục một lỗ hổng bảo mật trong các thiết bị Secure Mobile Access (SMA) 100 series mà hãng cho biết đã bị khai thác tích cực trong thực tế.
Lỗ hổng, được theo dõi là CVE-2025-40602 (điểm CVSS: 6.6), liên quan đến một trường hợp local privilege escalation phát sinh do ủy quyền không đủ trong bảng điều khiển quản lý thiết bị (AMC).
Nó ảnh hưởng đến các phiên bản sau:
- 12.4.3-03093 (platform-hotfix) và các phiên bản cũ hơn - Đã được khắc phục trong 12.4.3-03245 (platform-hotfix)
- 12.5.0-02002 (platform-hotfix) và các phiên bản cũ hơn - Đã được khắc phục trong 12.5.0-02283 (platform-hotfix)
"Lỗ hổng này được báo cáo là đã bị lợi dụng kết hợp với CVE-2025-23006 (điểm CVSS 9.8) để thực hiện unauthenticated remote code execution với quyền root," SonicWall cho biết.
Điều đáng chú ý là CVE-2025-23006 đã được công ty vá vào cuối tháng 1 năm 2025 trong phiên bản 12.4.3-02854 (platform-hotfix).
Clément Lecigne và Zander Work từ Google Threat Intelligence Group (GTIG) đã được ghi nhận công lao trong việc phát hiện và báo cáo CVE-2025-40602. Hiện tại, chưa có thông tin chi tiết về quy mô các cuộc tấn công và danh tính những kẻ đứng sau.
Trở lại tháng 7, Google cho biết họ đang theo dõi một nhóm có tên UNC6148 đang nhắm mục tiêu vào các thiết bị SonicWall SMA 100 series đã được vá lỗi và hết hạn sử dụng, như một phần của chiến dịch nhằm thả một backdoor có tên OVERSTEP. Hiện tại, chưa rõ liệu các hoạt động này có liên quan hay không.
Trước tình hình khai thác tích cực, điều cần thiết là người dùng SonicWall SMA 100 series phải áp dụng các bản vá lỗi càng sớm càng tốt.
