SonicWall 披露:主动攻击瞄准 SMA 100,CVE-2025-40602 补丁已发布
SonicWall 已发布安全更新,以修复一个正在被主动利用的本地权限提升漏洞,该漏洞编号为 CVE-2025-40602,影响 Secure Mobile Access (SMA) 100 系列设备。此漏洞存在于设备管理控制台 (AMC) 中,并已被证实在野外遭到利用,这增加了组织应用补丁的紧迫性。
技术根源
CVE-2025-40602 是由 SMA1000 设备管理控制台 (AMC) 内的授权检查不足引起的。由于权限验证不当,本地经过身份验证的用户可以执行超出其预期权限的操作,最终提升至更高级别的访问权限。
此缺陷反映了一类更广泛的授权漏洞,即管理界面未能充分强制执行基于角色的访问控制,使得管理组件成为高价值目标。
漏洞详情
- CVE 编号: CVE-2025-40602
- 漏洞类型: 本地权限提升漏洞
- CVSS 评分: 6.6 (中危)
- EPSS 评分: 1.71%
受影响产品
该漏洞影响以下 SonicWall 产品:
- SonicWall SMA 100 系列设备
- SMA1000 设备管理控制台 (AMC)
- 版本 12.4.3-03093 (platform-hotfix) 及更早版本
- 版本 12.5.0-02002 (platform-hotfix) 及更早版本
- SMA1000 设备管理控制台 (AMC)
SonicWall 已确认防火墙产品不受影响,从而将影响范围限制在主要用于安全远程访问和 VPN 服务的 SMA 设备上。
影响
就其本身而言,CVE-2025-40602 可实现本地权限提升,允许攻击者在设备上获取提升的权限。然而,当它与 CVE-2025-23006(一个预身份验证反序列化漏洞)结合利用时,风险会显著增加。
当这两个漏洞一起被利用时,攻击者能够实现未经身份验证的远程代码执行并获取 root 权限,导致设备完全被攻陷。鉴于 SMA 设备通常位于网络边界并提供 VPN 访问,成功利用可能导致:
- 凭据窃取
- 网络横向移动和内网渗透
- 持久后门部署
- 对企业环境的长期访问
攻击战术与技术
观察到的利用行为符合以下 MITRE ATT&CK 技术:
- TA0001 – 初始访问:通过暴露或易受攻击的管理服务获得入口
- TA0002 – 执行:在设备上运行恶意代码
- TA0004 – 权限提升:将访问权限提升至 root 级别
- T1068 – 利用漏洞进行权限提升
- T1203 – 利用漏洞进行客户端执行
攻击者被观察到将多个漏洞串联起来,以绕过身份验证控制并在设备上直接执行载荷。
缓解与修复指南
SonicWall 的 PSIRT 强烈建议立即升级到以下版本:
- 对于 12.4.3 版本线:升级至 12.4.3-03245 (platform-hotfix) 或更高版本
- 对于 12.5.0 版本线:升级至 12.5.0-02283 (platform-hotfix) 或更高版本
为了完全缓解串联利用攻击,组织还必须确保修补 CVE-2025-23006,方法是升级到:
- 12.4.3-02854 (platform-hotfix) 或更高版本
通过 Saner 补丁管理即时修复风险
Saner 补丁管理是一个持续、自动化、集成的软件,可即时修复在野外被利用的风险。该软件支持 Windows、Linux 和 macOS 等主流操作系统,以及 550 多种第三方应用程序。
它还允许您设置一个安全测试区域,以便在部署到主要生产环境之前测试补丁。此外,Saner 补丁管理支持在补丁失败或系统故障时进行补丁回滚功能。