当前位置: 首页 > news >正文

速修复这个已遭利用的 SonicWall SMA1000 0day漏洞

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

今天,SonicWall 公司提醒客户修复位于 SonicWall SMA1000 设备管理控制台 (AMC) 中的一个中危本地提权漏洞CVE-2025-40602。该漏洞已被用于提权。

SonicWall 公司提到,该漏洞由谷歌威胁情报团队的研究员 Clément Lecigne 和 Zander Work报送,不影响在 SonicWall 防火墙上运行的 SSL-VPN。该公司在安全公告中提到,“SonicWall PSIRT 强烈建议 SMA1000 产品用户升级至最新的热修复版本,修复该漏洞。”

远程未认证攻击者在0day攻击中组合利用该漏洞和SMA1000 预认证反序列化严重漏洞CVE-2025-23006,在一定条件下执行任意的 OS 命令。该公司提到,“该漏洞与 CVE-2025-23006(CVSS评分9.8)一起利用,通过跟权限实现未认证远程代码执行后果。CVE-2025-23006在 build 版本12.4.3-02845 (platform-hotfix) 和更高版本(2025年1月22日发布)中已修复。”

Shadowserver 平台目前追踪到超过950台 SMA1000 设备被暴露到互联网上,不过一些设备可能已经完成修复。

SMA1000 是一款远程访问安全设备,供大型组织机构向企业网络提供VPN访问权限。鉴于它在企业、政府和关键基础设施组织机构中发挥的重要作用,未修复漏洞造成的利用风险尤其高。

上个月,SonicWall 公司将9月份的一起安全事件归咎于受国家支持的黑客。该攻击暴露了客户的防火墙配置备份文件,发生在研究人员提醒注意超过100台 SonicWall SSLVPN 账号因凭据被盗而遭暴露的一个月左右。9月份,该公司还发布固件更新,协助IT管理员删除部署在 SMA 100 系列设备中的 OVERSTEP rootkit 恶意软件。就在该事件发生的一个月前,该公司称 Akira 勒索团伙利用一个潜在的 0day 利用攻击第七代防火墙,并认为该事件与2024年11月修复的一个严重漏洞CVE-2024-40766有关。Rapid7 公司和澳大利亚网络安全中心随后证实了 SonicWall 公司的研究发现,表示Akira 团伙正在利用该漏洞攻击未修复的 SonicWall 设备。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

SonicWall SonicOS 中的高危漏洞可导致防火墙崩溃

SonicWall 云备份所有用户的防火墙配置均被盗

配置备份文件遭暴露 SonicWall 督促客户重置登录凭据

SonicWall 证实并无 SSL VPN 新0day漏洞

SonicWall:严重的SSL VPN漏洞可用于在防火墙上执行远程DoS 攻击

原文链接

https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

http://www.cnnetsun.cn/news/160681.html

相关文章:

  • 实测GPT Image 1.5,跑分第一的它击败Gemini了吗?
  • docker compose安装gitea
  • gitea和gitlab有什么区别
  • CH579硬件休眠模式节能设计
  • 【GRNN-RBFNN-ILC算法】【轨迹跟踪】基于神经网络的迭代学习控制用于未知SISO非线性系统的轨迹跟踪(Matlab代码实现)
  • AI智能体 - 资源感知优化模式
  • 当学术焦虑撞上AI时代:一位理工科研究生的论文自救指南——如何用智能工具化解从开题到定稿的“写作围城”
  • Langchain-Chatchat问答系统自动纠错机制探索
  • next-ai-draw-io 用这款AI 画图几十秒就搞定了
  • FaceFusion换脸出现鬼影怎么办?常见问题排查手册
  • 数据安全治理解决方案(附下载)
  • 【虚拟同步机控制建模】分布式电源的虚拟同步控制 + 双环控制(Simulink仿真实现)
  • FaceFusion人脸融合在虚拟快递员形象定制中的创新尝试
  • 12月的财务工作要达到的强度
  • 如何用GVHMR实现精准的3D人体运动恢复?5大核心技术解析
  • TachiyomiJ2K通知系统:5分钟学会智能漫画更新提醒配置
  • 使用lsp-zero.nvim快速配置Neovim的LSP功能
  • Oxigraph 实战手册:构建下一代语义智能应用的核心引擎
  • ESP32与心率监测联动冥想引导
  • QuickLook终极指南:5分钟掌握Windows快速预览神器
  • Java泛型详解(内附代码示例),零基础小白到精通,收藏这篇就够了
  • 刚刚!Science公布2025年度十大突破,第一名来自中国!
  • Web开发者进阶AI Agent:LangChain提示词模板与输出解析器实战
  • FaceFusion镜像内置缓存机制提升重复任务效率
  • 【隐私合规迫在眉睫】:Open-AutoGLM一键启用的5大应急防护机制详解
  • 你敢完全信任AI自动执行吗?Open-AutoGLM用人工确认构建最后一道防火墙
  • Open-AutoGLM遇上PIPL:企业必须掌握的5大合规技术要点
  • Langchain-Chatchat结合RAG技术提升回答质量
  • 用Langchain-Chatchat将PDF、Word转为可问答的知识库
  • Open-AutoGLM上线后售后人力下降75%,这份部署落地 checklist 你必须拥有