SonicWall met en garde contre une vulnérabilité de désérialisation de pré-authentification dans la Console de gestion des appliances SonicWall SMA1000 (AMC) et la Console de gestion centrale (CMC), avec des rapports indiquant qu’elle a été exploitée comme un jour zéro dans les attaques.
La faille, identifiée comme CVE-2025-23006 et classée critique (score CVSS v3: 9,8), pourrait permettre à des attaquants distants non authentifiés d’exécuter des commandes de système d’exploitation arbitraires dans des conditions spécifiques.
La vulnérabilité affecte toutes les versions de micrologiciel de l’appliance SMA100 jusqu’à 12.4.3-02804 (correctif de plate-forme).
SonicWall a souligné qu’il avait reçu des rapports selon lesquels la vulnérabilité avait été exploitée comme un jour zéro dans les attaques.
« SonicWall PSIRT a été informé d’une possible exploitation active de la vulnérabilité référencée par des acteurs de la menace », prévient le bulletin.
« Nous conseillons vivement aux utilisateurs du produit SMA1000 de passer à la version de correctif pour corriger la vulnérabilité. »
Le Centre de renseignements sur les menaces de Microsoft a découvert la faille, de sorte que plus de détails sur l’activité d’exploitation et sur son démarrage pourraient être partagés par Microsoft à une date ultérieure.
Il est recommandé aux administrateurs système de passer à la version 12.4.3-02854 (correctif de plate-forme) et versions ultérieures pour atténuer le risque.
SonicWall a précisé que CVE-2025-23006 n’a pas d’impact sur les produits de la série SMA 100, aucune action n’est donc requise pour eux.
L’équipe allemande d’intervention en cas d’urgence informatique, CERT-Bund, a également émis un avertissement sur X exhortant les administrateurs à installer les mises à jour immédiatement.
Le chercheur de Macnica, Yutaka Sejiyama, a déclaré à Breachtrace qu’une recherche de Shodan indique que 2 380 appareils SMS1000 sont actuellement exposés en ligne.
Les appareils SonicWall, une cible commune
Les SMA1000 sont des appliances d’accès à distance sécurisées couramment utilisées par les grandes organisations pour fournir un accès VPN aux réseaux d’entreprise.
Compte tenu de leur rôle essentiel dans l’entreprise, les agences gouvernementales et les fournisseurs de services essentiels, le risque de failles non corrigées est particulièrement élevé.
Plus tôt ce mois-ci, SonicWall a mis en garde contre une faille de contournement d’authentification dangereuse affectant les appliances de pare-feu, répertoriée sous le numéro CVE-2024-53704.
Hier, les chercheurs de Bishop Fox ont publié une vidéo présentant leur exploit de CVE-2024-53704, promettant de divulguer tous les détails le 10 février 2025.
« Bien qu’un effort important d’ingénierie inverse ait été nécessaire pour trouver et exploiter la vulnérabilité, l’exploit lui-même est plutôt trivial », lit-on dans le message de Bishop Fox.
Pendant ce temps, hier, Bishop Fox a signalé que plus de cinq mille appareils SonicWall sensibles à CVE-2024-53704 sont exposés sur Internet.