网络安全公司SonicWall近日发布公告,敦促其客户尽快修补影响其安全移动访问(SMA)设备的三个安全漏洞,其中一个已被标记为在攻击中被利用。据Rapid7网络安全研究员Ryan Emmons发现并报告,这些漏洞(CVE-2025-32819、CVE-2025-32820和CVE-2025-32821)可以被攻击者串联利用,以root权限远程执行代码并危及易受攻击的设备实例。这些漏洞影响SMA 200、SMA 210、SMA 400、SMA 410和SMA 500v设备,并在固件版本10.2.1.15-81sv及更高版本中得到修复。
SonicWall在周三的公告中强烈建议使用SMA 100系列产品(SMA 200、210、400、410和500v)的用户升级到提到的修复版本,以解决这些漏洞。成功利用CVE-2025-32819会使威胁行为者能够删除主SQLite数据库、重置默认SMA管理员用户的密码,并以管理员身份登录SMA网页界面。接下来,他们可以利用CVE-2025-32820路径遍历漏洞使/bin文件夹可写,并通过利用CVE-2025-32821获得以root权限远程执行代码的能力。
Rapid7表示:“拥有SMA SSLVPN用户帐户访问权限的攻击者可以串联这些漏洞,使敏感系统目录可写,提升其权限至SMA管理员,并将可执行文件写入系统目录。此串联结果为以root权限远程执行代码。”基于已知的(私人)IOC和Rapid7事件响应调查,我们相信这个漏洞可能已在野外被利用。
SonicWall建议管理员检查其SMA设备的日志,以查找任何未授权登录的迹象,并在其SMA100设备上启用Web应用程序防火墙和多因素认证(MFA)作为安全措施。