SonicWall mendesak pelanggan untuk menambal peralatan SMA 100 Series terhadap kerentanan unggahan arbitrer arbitrer yang dapat diotentikasi yang dapat memungkinkan penyerang mendapatkan eksekusi kode jarak jauh.
Cacat keamanan (dilacak sebagai CVE-2025-40599) disebabkan oleh kelemahan unggahan file yang tidak dibatasi dalam antarmuka manajemen web perangkat, yang dapat memungkinkan aktor ancaman jarak jauh dengan hak administratif untuk mengunggah file sewenang-wenang ke sistem.
“SonicWall sangat merekomendasikan agar pengguna produk SMA 100 Series (SMA 210, 410, dan 500V) meningkatkan ke versi rilis tetap yang ditentukan untuk memperbaiki kerentanan ini,” dikatakan. “Kerentanan ini tidak mempengaruhi Sonicwall SSL VPN SMA1000 Series Products atau SSL-VPN yang berjalan di firewall SonicWall.”
Sementara penyerang akan membutuhkan hak istimewa admin untuk CVE-2025-40599 eksploitasi yang berhasil dan Sonicwall belum menemukan bukti bahwa kerentanan ini sedang dieksploitasi secara aktif, mereka masih memperingatkan pelanggan untuk mengamankan perangkat mereka, karena peralatan SMA 100 sudah menjadi sasaran sasaran di serangan menggunakan kredensial yang dikompromikan.
Sebagai peneliti Google Ancaman Intelijen (GTIG) diperingatkan minggu laluAktor ancaman yang tidak diketahui, dilacak sebagai UNC6148, telah menggunakan malware rootkit baru yang disebut Overstep pada perangkat SMA 100 Series SMA yang sepenuhnya ditambal. GTIG percaya UNC6148 terlibat dalam pencurian data dan serangan pemerasan, dan juga dapat menggunakan ransomware Abyss (juga dilacak sebagai vsociety).
Saat menyelidiki serangan ini, para penyelidik menemukan bukti yang menunjukkan bahwa aktor ancaman telah mencuri kredensial untuk alat yang ditargetkan pada bulan Januari dengan mengeksploitasi berbagai kerentanan (CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039, CVE-2025-32819).
SonicWall ‘sangat’ menyarankan pelanggan menggunakan SMA 100 Virtual atau Peralatan Fisik untuk memeriksa mereka untuk indikator kompromi (IOC) dari laporan GTIG dengan memeriksa akses yang tidak sah dan meninjau log alat dan riwayat koneksi untuk aktivitas yang mencurigakan. Jika mereka menemukan bukti kompromi, administrator disarankan untuk menjangkau dukungan SonicWall segera untuk mendapatkan bantuan.
Untuk mengamankan perangkat mereka, pengguna harus membatasi akses manajemen jarak jauh pada antarmuka eksternal, mengatur ulang semua kata sandi, dan mengikat kembali OTP (satu kali kata sandi) yang mengikat bagi pengguna dan administrator. Mereka juga harus menegakkan otentikasi multi-faktor (MFA) dan mengaktifkan firewall aplikasi web (WAF).
Awal tahun ini, SonicWall menandai kerentanan keamanan lainnya yang dieksploitasi dalam serangan yang menargetkan peralatan akses seluler yang aman (SMA).
Pada bulan Mei, perusahaan pelanggan mendorong Untuk menambal tiga kerentanan keamanan (CVE-2025-32819, CVE-2025-32820, dan CVE-2025-32821) yang dapat dirantai untuk mendapatkan eksekusi kode jarak jauh sebagai root, salah satunya ditandai sebagai dieksploitasi dalam serangan.
Satu bulan sebelumnya, Sonicwall menandai cacat SMA100 lainnya (CVE-2021-20035) Seperti dieksploitasi dalam serangan eksekusi kode jarak jauh Sejak setidaknya Januari 2025.
Deteksi & Respons Cloud untuk Dummies
Mengandung ancaman yang muncul secara real time – sebelum mereka berdampak pada bisnis Anda.
Pelajari bagaimana deteksi dan respons cloud (CDR) memberi tim keamanan keunggulan yang mereka butuhkan dalam panduan praktis dan tidak masuk akal ini.
