W środę 22 stycznia SonicWall potwierdził, iż Microsoft zgłosił im krytyczną lukę w zabezpieczeniach. Podatność umożliwia zdalne wykonywanie poleceń i mogła zostać wykorzystana w atakach w praktyce.
Mowa o luce typu zero-day, sklasyfikowanej pod numerem CVE-2025-23006. Została opisana przez SonicWall jako problem z „niezaufaną deserializacją danych”, wpływający na produkty z serii Secure Mobile Access (SMA) 1000, w szczególności narzędzia administracyjne Appliance Management Console (AMC) i Central Management Console (CMC).
Zdalny, nieuwierzytelniony atakujący może wykorzystać lukę – w określonych warunkach – do wykonywania dowolnych poleceń systemu operacyjnego.
„SonicWall PSIRT został powiadomiony o możliwym aktywnym wykorzystaniu wspomnianej luki przez aktorów zagrożeń” – podkreślił dostawca w swoim komunikacie.
Luka dotyczy wersji 12.4.3-02804 (platform-hotfix) i wcześniejszych, a została naprawiona wraz z wydaniem wersji 12.4.3-02854 (platform-hotfix), którą klienci SMA1000 powinni zainstalować tak szybko, jak to możliwe.
Firma zaznaczyła, iż produkty Firewall i SMA serii 100 nie są zagrożone.
To kolejna w tym miesiącu informacja o SonicWallu. 10 stycznia również pisaliśmy o tym producencie.
Pochwała należy się Microsoft Threat Intelligence Center (MSTIC) – to ten dział giganta z Redmond odpowiedzialny jest za zgłoszenie luki w zabezpieczeniach do SonicWalla. Mimo iż nie opublikował żadnych informacji na temat ataków, które mogłyby obejmować wykorzystanie luki CVE-2025-23006.
Nie jest niczym niezwykłym, iż hakerzy wykorzystują luki w zabezpieczeniach produktów SonicWall w atakach. Katalog znanych podatności wykorzystywanych przez użytkowników (KEV) jest prowadzony przez agencję ds. cyberbezpieczeństwa CISA. Zawiera on 10 luk w oprogramowaniu SonicWall, ale na liście nie ma na razie luki CVE-2025-23006.
O części zagrożeń związanych z produktami SonicWall piszemy tutaj.