SonicWall Secure Mobile Access (SMA) 1000系列设备中的严重漏洞
摘要
在SonicWall Secure Mobile Access (SMA) 1000系列设备中发现了一个关键漏洞(CVE-2025-23006),可能导致远程代码执行(RCE)。该漏洞源于设备管理控制台(AMC)和中央管理控制台(CMC)中预认证反序列化不受信任数据的缺陷。成功利用此漏洞可使未经身份验证的攻击者执行任意操作系统命令,从而破坏系统完整性。
SonicWall PSIRT已收到威胁行为者可能积极利用此漏洞的通知。使用受影响SMA设备的组织应立即采取行动以降低风险。
受影响系统和/或应用程序
运行版本12.4.3-02804(平台热修复)及更早版本的SonicWall SMA 1000系列设备。
受影响型号:SMA6200、SMA6210、SMA7200、SMA7210、SMA8200v(ESX、KVM、Hyper-V、AWS、Azure)、EX6000、EX7000、EX9000。
注意:SonicWall防火墙和SMA 100(SMA200、210、400、410和500v)产品不受此漏洞影响。
技术细节
策略:初始访问(TA0001)
技术:利用面向公众的应用程序(T1190)
SonicWall SMA 1000的AMC和CMC中的预认证反序列化漏洞可能允许远程攻击者执行任意操作系统命令。这可能导致系统完全被攻陷,使攻击者能够:
- 安装恶意软件
- 窃取、修改或删除敏感数据
- 获得对网络的持久访问权限
缓解措施和变通方案
升级到最新修复版本
SonicWall已发布修复此漏洞的补丁。组织应尽快升级到最新的修复版本。
| 产品 | 受影响版本 | 修复版本 |
|---|---|---|
| SMA1000设备管理控制台(AMC)和中央管理控制台(CMC) | 版本12.4.3-02804及更早 | 版本12.4.302854 |
受影响型号:SMA6200、SMA6210、SMA7200、SMA7210、SMA8200v(ESX、KVM、Hyper-V、AWS、Azure)、EX6000、EX7000、EX9000。
注意:SonicWall防火墙和SMA 100(SMA200、210、400、410和500v)产品不受此漏洞影响。
组织在部署更新前应遵循内部补丁管理和测试指南,以最小化运营中断。
变通方案
如果无法立即打补丁,应应用以下缓解措施:
限制对受信任源的访问:
- 仅将设备管理控制台(AMC)和中央管理控制台(CMC)的访问限制为受信任的内部网络。
- 对于双宿主设备:将管理控制台(默认TCP端口8443)的访问限制为仅通过内部接口访问的受信任内部网络。这不会影响用户VPN流量。
- 对于单宿主设备:使用防火墙将管理控制台(默认TCP端口8443)的访问限制为受信任的内部网络。这不会影响用户VPN流量。
审查并实施安全最佳实践:
- 参考SMA1000管理指南中的“保护设备的最佳实践”部分,获取其他安全配置。
- 对管理账户强制执行多因素认证(MFA)。
建议组织在应用补丁之前实施这些变通方案,以降低利用风险。
网络融合中心的行动
此漏洞对使用SonicWall SMA 1000设备的组织构成严重风险。需要立即采取行动,通过应用补丁、加强网络防御和实施强大的监控来缓解威胁。组织还应优先考虑长期安全措施,如漏洞管理、渗透测试和访问控制,以最小化未来风险。
CFC将继续监控情况,并在需要时发送咨询更新。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后,立即收到扫描范围内发现的关键漏洞的相关结果。
Qualys ID:732196
Tenable ID:https://www.tenable.com/plugins/nessus/214591