SonicWall memperingatkan tentang kerentanan deserialisasi pra-autentikasi di SonicWall SMA1000 Appliance Management Console (AMC) dan Central Management Console (CMC), dengan laporan bahwa kerentanan tersebut telah dieksploitasi sebagai serangan zero-day.
Cacat tersebut, dilacak sebagai CVE-2025-23006 dan dinilai kritis (skor CVSS v3: 9.8), dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi perintah OS sewenang-wenang dalam kondisi tertentu.
Kerentanan mempengaruhi semua versi firmware alat SMA100 hingga 12.4.3-02804 (platform-hotfix).
SonicWall menyoroti bahwa mereka telah menerima laporan bahwa kerentanan dieksploitasi sebagai serangan zero-day.
“SonicWall PSIRT telah diberitahu tentang kemungkinan eksploitasi aktif atas kerentanan yang direferensikan oleh pelaku ancaman,” memperingatkan buletin itu.
“Kami sangat menyarankan pengguna produk SMA1000 untuk meningkatkan ke versi rilis perbaikan terbaru untuk mengatasi kerentanan.”
Pusat Intelijen Ancaman Microsoft menemukan kelemahan tersebut, jadi rincian lebih lanjut tentang aktivitas eksploitasi dan kapan dimulainya mungkin akan dibagikan oleh Microsoft di kemudian hari.
Administrator sistem disarankan untuk meningkatkan ke versi 12.4.3-02854 (perbaikan terbaru platform) dan yang lebih baru untuk mengurangi risiko.
SonicWall mengklarifikasi bahwa CVE-2025-23006 tidak berdampak pada produk seri SMA 100, jadi tidak diperlukan tindakan apa pun terhadap produk tersebut.
Tim Tanggap Darurat Komputer Jerman, CERT-Bund, juga mengeluarkan peringatan pada X yang mendesak admin untuk segera menginstal pembaruan.
Peneliti Macnica Yutaka Sejiyama mengatakan kepada BleepingComputer bahwa a Pencarian Shodan melaporkan bahwa 2.380 perangkat SMS1000 saat ini terekspos secara online.
Perangkat SonicWall menjadi target umum
SMA1000 adalah peralatan akses jarak jauh aman yang biasa digunakan oleh organisasi besar untuk menyediakan akses VPN ke jaringan perusahaan.
Mengingat peran penting mereka dalam perusahaan, lembaga pemerintah, dan penyedia layanan penting, risiko kelemahan yang belum diperbaiki sangatlah tinggi.
Awal bulan ini, SonicWall diperingatkan tentang kelemahan bypass autentikasi berbahaya yang memengaruhi peralatan firewall, dilacak sebagai CVE-2024-53704.
Kemarin, peneliti Bishop Fox menerbitkan video yang menunjukkan eksploitasi mereka terhadap CVE-2024-53704, dan berjanji untuk mengungkapkan rincian lengkapnya pada 10 Februari 2025.
“Meskipun upaya rekayasa balik yang signifikan diperlukan untuk menemukan dan mengeksploitasi kerentanan, eksploitasi itu sendiri bukanlah hal yang sepele,” membaca postingan Bishop Fox.
Sementara itu, hingga kemarin, Bishop Fox melaporkan bahwa lebih dari lima ribu perangkat SonicWall yang rentan terhadap CVE-2024-53704 terekspos di internet.
