Ciberseguridad 360 | SonicWall alerta sobre vulnerabilidad RCE en SMA1000 explotada en ataques zero-day

SonicWall advierte de una vulnerabilidad de deserializaci�n previa a la autenticaci�n en la consola de gesti�n de dispositivos SonicWall SMA1000 (AMC) y la consola de gesti�n central (CMC), con informes de que se ha explotado como zero-day en ataques.

El fallo, rastreado como CVE-2025-23006 y calificado como cr�tico (puntuaci�n CVSS v3: 9,8), podr�a permitir a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo en determinadas condiciones.

La vulnerabilidad afecta a todas las versiones de firmware del dispositivo SMA100 hasta la 12.4.3-02804 (platform-hotfix).

SonicWall destac� que ha recibido informes de que la vulnerabilidad fue explotada como zero-day en ataques.

"SonicWall PSIRT ha sido notificado de la posible explotaci�n activa de la vulnerabilidad referenciada por parte de actores de amenazas", advierte el bolet�n.

"Aconsejamos encarecidamente a los usuarios del producto SMA1000 que actualicen a la versi�n de lanzamiento del hotfix para solucionar la vulnerabilidad".

El Centro de Inteligencia de Amenazas de Microsoft descubri� la falla, por lo que Microsoft podr�a compartir m�s detalles sobre la actividad de explotaci�n y cu�ndo comenz� en una fecha posterior.

Se recomienda a los administradores del sistema que actualicen a la versi�n 12.4.3-02854 (platform-hotfix) y posteriores para mitigar el riesgo.

SonicWall aclar� que CVE-2025-23006 no afecta a los productos de la serie SMA 100, por lo que no se requiere ninguna acci�n para ellos.

El Equipo de Respuesta a Emergencias Inform�ticas de Alemania, CERT-Bund, tambi�n emiti� una advertencia en X instando a los administradores a instalar las actualizaciones inmediatamente.

El investigador de Macnica Yutaka Sejiyama dijo a BleepingComputer que una b�squeda en Shodan informa de que 2.380 dispositivos SMS1000 est�n actualmente expuestos en l�nea.

Los dispositivos SonicWall, un objetivo com�n

Los SMA1000 son dispositivos de acceso remoto seguro utilizados habitualmente por las grandes organizaciones para proporcionar acceso VPN a las redes corporativas.

Dado su papel fundamental en la empresa, las agencias gubernamentales y los proveedores de servicios cr�ticos, el riesgo de que se produzcan fallos sin parchear en ellos es especialmente alto.

A principios de este mes, SonicWall advirti� de un peligroso fallo de omisi�n de autenticaci�n que afectaba a los dispositivos de cortafuegos, rastreado como CVE-2024-53704.

Ayer, los investigadores de Bishop Fox publicaron un v�deo en el que mostraban su explotaci�n de CVE-2024-53704, prometiendo revelar todos los detalles el 10 de febrero de 2025.

"Aunque fue necesario un importante esfuerzo de ingenier�a inversa para encontrar y explotar la vulnerabilidad, el exploit en s� es bastante trivial", se lee en el post de Bishop Fox.

Mientras tanto, el mi�rcoles pasado, Bishop Fox inform� que m�s de cinco mil dispositivos SonicWall susceptibles a CVE-2024-53704 est�n expuestos en Internet.

Fuente: bleepingcomputer