摘要

2025年5月7日，SonicWall和Rapid7披露了影响SonicWall Secure Mobile Access（SMA）100系列设备（包括型号200、210、400、410和500v）的三个漏洞，追踪为CVE-2025-32819、CVE-2025-32820和CVE-2025-32821。这些漏洞允许低权限认证的SSLVPN用户通过串联缺陷提升权限并实现根级远程代码执行（RCE）。漏洞已在固件版本10.2.1.15-81sv中修复，SonicWall强烈建议所有客户立即升级。值得注意的是，Rapid7观察到CVE-2025-32819可能已在野外被利用的迹象。

受影响系统和应用

受影响产品：

• SonicWall SMA 100系列：200、210、400、410、500v（所有虚拟机管理程序）

受影响版本：

• 10.2.1.14-75sv及更早版本

修复版本：

• 10.2.1.15-81sv及更高版本

技术细节/攻击概述

漏洞可按顺序利用：

• CVE-2025-32819：具有SSLVPN用户权限的认证攻击者可以以root身份删除SMA设备上的任意文件，可能导致权限提升至管理员账户。该漏洞CVSS评分为8.8。
• CVE-2025-32820：允许认证的SSLVPN用户绕过路径遍历检查并删除任意文件，为攻击链提供支持。该漏洞CVSS评分为8.3。
• CVE-2025-32821：使认证的SSLVPN管理员能够执行shell命令注入，促进在系统上执行任意命令。该漏洞CVSS评分为7.1。

通过串联这些漏洞，攻击者可以提升权限并在受影响的SMA设备上以root级访问执行任意代码。

临时缓解措施

在应用补丁之前，考虑以下缓解措施：

• 限制访问：将SMA Web界面访问限制为受信任网络或VPN。
• 强制强认证：为所有管理账户实施多因素认证（MFA）。
• 监控日志：定期审查日志以查找异常活动，如意外文件删除或权限提升。
• 网络分段：将SMA设备与关键网络段隔离，以限制潜在的横向移动。

注意：这些措施可降低风险，但无法消除漏洞。升级到修补后的固件版本是唯一的完整修复方案。

检测指南

安全团队应实施以下检测策略：

• 日志分析：监控日志以查找任意文件删除或未经授权的权限提升迹象。
• 异常行为检测：检测来自SSLVPN用户账户的异常活动，尤其是涉及管理功能的活动。
• 完整性检查：定期验证关键系统文件的完整性以检测未经授权的修改。考虑部署Canary Tokens以发出潜在入侵或未经授权访问的信号。

网络融合中心行动

网络融合中心（CFC）正在积极监控利用尝试并评估威胁情报以获取妥协指标（IOCs）。行动包括：

• 漏洞扫描：等待Tenable和Qualys等工具的检测插件发布。
• 威胁狩猎：CFC目前正在调查是否可以部署威胁狩猎规则。

目前，没有确认的公共概念验证（PoC）漏洞利用，但利用的可能性强调了应用可用补丁的紧迫性。

参考文献

• Rapid7博客：SonicWall SMA 100系列中的多个漏洞（已修复）
• SonicWall产品通知：SMA 100系列 – 多个漏洞
• SonicWall PSIRT咨询SNWLID-2025-0011
• NVD条目CVE-2025-32819
• NVD条目CVE-2025-32820
• NVD条目CVE-2025-32821