SonicWall ha publicado parches de seguridad para una vulnerabilidad crítica en sus dispositivos de la serie Secure Mobile Access (SMA) 100, reportada como CVE-2025-40602 (CVSS: 6.6), que estaba siendo activamente explotada en entornos reales. Esta falla reside en el Appliance Management Console (AMC) y se debe a controles de autorización insuficientes que permiten a atacantes elevar privilegios locales.
La empresa indicó que esta vulnerabilidad se ha encontrado en combinación con otra previamente parcheada CVE-2025-23006 (CVSS: 9.8), un grave fallo de ejecución remota de comandos y que juntos permitían a adversarios ejecutar comandos con privilegios root sin autenticación.
¿Cómo se explota esta vulnerabilidad?
- CVE-2025-40602 permite a atacantes con acceso básico al sistema abusar de la falta de autorización en la consola de gestión para escalar privilegios.
- Cuando se usaba junto con CVE-2025-23006, los atacantes podían avanzar desde acceso público o no autenticado a ejecución de código remoto como root, comprometiendo por completo el dispositivo SMA 100.
- La explotación de estas fallas permitía a adversarios instalar backdoors, mover lateralmente dentro de redes y potencialmente usar los dispositivos comprometidos como pivote para ataques más amplios.
Los parches han sido liberados en las siguientes versiones de firmware para las SMA 100:
- 12.4.3-03245 (platform-hotfix) y superiores
- 12.5.0-02283 (platform-hotfix) y superiores
Contexto ampliado
Aunque CVE-2025-40602 se centra en elevación de privilegios debido a autorización insuficiente, SonicWall y otros investigadores adversarios también han tenido que lidiar con otros fallos en su ecosistema de productos:
- CVE-2025-23006 —una vulnerabilidad de ejecución remota de comandos sin autenticación relacionada con la consola de SonicWall— fue parcheada previamente y reportada como explotada.
- Campañas de ransomware como Akira han venido abusando de fallos múltiples y de configuraciones débiles en dispositivos SonicWall (incluyendo VPN y autenticación), aunque no todos esos vectores tienen CVE públicos asociados o han sido confirmados por SonicWall directamente.
- Otros fallos como CVE-2024-53704 y CVE-2024-40766 (no parte de este parche) también han sido explotados activamente en el pasado, especialmente en dispositivos SSL VPN y firewalls Gen 7/Gen 6, lo que subraya que la plataforma ha sido blanco recurrente de ataques.
Este contexto es útil para recordar que no sólo la vulnerabilidad recientemente parcheada está en riesgo: dispositivos sin parchear con fallos más antiguos aún pueden ser explotados en cadenas de ataque complejas.
¿Por qué es importante para las redes corporativas?
Esta vulnerabilidad afecta dispositivos que suelen ubicarse en el perímetro de la red o en zonas de acceso remoto corporativo. Si un atacante logra:
- Escalar privilegios en un SMA 100.
- Combinarlo con la ejecución de código remoto de un fallo mayor (CVE-2025-23006 o similares).
- Conseguir un shell con permisos elevados.
Entonces puede comprometer controles de acceso externo, exfiltrar datos sensibles, pivotar a redes internas e incluso ayudar a desplegar ransomware o backdoors persistentes. Además, la explotación activa reportada indica que no se trata de una amenaza teórica: actores maliciosos ya han probado o adaptado exploits reales.
Recomendaciones
- Aplicar parches de inmediato
- Actualiza los dispositivos SonicWall SMA 100 a las versiones 12.4.3-03245 o 12.5.0-02283 (o superiores) según tus modelos.
- No dejes la actualización solo en pruebas: automatiza o prioriza este parche en todas las instancias de producción.
- Aislar interfaces administrativas
- Restringe el acceso a la consola de gestión al menor número posible de IPs confiables (por ejemplo VPN corporativa o IPs de administración remota específicas).
- Deshabilita la gestión remota desde Internet si no es absolutamente necesaria.
- Revisión de configuración de VPN/AMC/SSH
- Aplica reglas de firewall para limitar acceso a puertos administrativos.
- Desactiva servicios no utilizados (por ejemplo AMC/SSH expuestos públicamente).
- Implementa listas blancas (ACLs) para tráfico de administración.
