Datum der Offenlegung (Quelle): Januar 22, 2025
Datum der Meldung als aktiv ausgenutzt (Quelle): Januar 24, 2025
**Aktualisierung** (28. Januar 2025):
Ursprünglich berichteten wir, dass 3.534 exponierte SonicWall VPNs der SMA 1000-Serie potenziell für CVE-2025-23006 anfällig sind. Diese Schätzung basierte auf der Identifizierung von Geräten, auf denen eine anfällige Firmware-Version läuft, ohne zu berücksichtigen, ob die Verwaltungsschnittstellen - die von dieser Sicherheitslücke besonders betroffen sind - öffentlich zugänglich sind. Diese öffentlich zugänglichen Verwaltungsschnittstellen werden mit größerer Wahrscheinlichkeit von externen Akteuren angegriffen.
Wenn wir nur die Geräte herausfiltern, die eine Appliance- oder Central Management Console-Schnittstelle aufweisen, entdecken wir 91 potenziell gefährdete Anmeldeschnittstellen.
Nachfolgend finden Sie eine Abfrage für alle exponierten Verwaltungskonsolen, unabhängig von der Version, von denen nicht unbedingt alle angreifbar sind (siehe unsere Richtlinie zur Freigabe von Rapid Response-Abfragen).
services.software: (vendor="SonicWall" and product="Secure Mobile Access") and services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not labels: {honeypot, tarpit}
Der folgende Abschnitt über die Censys wurde aktualisiert, um diese Ergebnisse widerzuspiegeln.
CVE-2025-23006 ist eine kritische Sicherheitslücke bei der Remotecodeausführung (RCE), die SonicWall Secure Mobile Access (SMA)-VPNs der 1000er-Serie betrifft und einen CVSS-Score von 9,8 aufweist.
Die Schwachstelle befindet sich in der SMA1000 Appliance Management Console (AMC) und der Central Management Console (CMC), Version 12.4.3-02804 und früher. Wenn er erfolgreich ausgenutzt wird, können nicht authentifizierte Angreifer beliebige Betriebssystembefehle ausführen.
Am 24. Januar 2025 wurde diese Sicherheitslücke in die CISA-Liste der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Während genaue Details zu den Bedrohungsaktivitäten noch unklar sind, hat SonicWall Berichte über eine aktive Ausnutzung bestätigt.
SonicWall SMA-Schwachstellen sind seit langem ein Ziel für Cyberkriminelle, einschließlich CVE-2021-20016 und CVE-2021-20028. Insbesondere die Ransomware-Gruppen UNC2447, HelloKitty und FiveHands sind dafür bekannt, dass sie auf SonicWall-SMA-Schwachstellen abzielen.
SonicWall hat die Benutzer aufgefordert, die betroffenen Instanzen durch ein Upgrade auf 12.4.3-02854 (Plattform-Hotfix) und höhere Versionen zu patchen. Darüber hinaus wurde den Kunden empfohlen, den Zugriff auf vertrauenswürdige Quellen für die Appliance und die zentralen Verwaltungskonsolen zu beschränken.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2025-23006 - CVSS 9.8 (kritisch) - zugewiesen von CISA-ADP |
| Schwachstelle Beschreibung |
In der SMA1000 Appliance Management Console (AMC) und der Central Management Console (CMC) wurde eine Schwachstelle in der Deserialisierung von nicht vertrauenswürdigen Daten vor der Authentifizierung entdeckt, die es einem entfernten, nicht authentifizierten Angreifer unter bestimmten Umständen ermöglichen könnte, beliebige Betriebssystembefehle auszuführen. |
| Datum der Offenlegung |
22. Januar 2025 |
| Betroffene Vermögenswerte |
SonicWall AMC und CMC in VPNs der SMA1000-Serie |
| Anfällige Software-Versionen |
Vor und einschließlich Version 12.4.3-02804 |
| PoC verfügbar? |
Zum Zeitpunkt der Erstellung dieses Berichts waren keine öffentlichen Exploits verfügbar. |
| Verwertungsstatus |
Diese Sicherheitslücke wurde am 24. Januar 2025 in die CISA KEV aufgenommen. |
| Patch-Status |
Diese Sicherheitslücke wurde vom Hersteller in Version 12.4.3-02854 (platform-hotfix) und höheren Versionen behoben. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 4,743 exponierte SonicWall SMA VPNs. Ein erheblicher Anteil dieser Geräte (42%) ist in den Vereinigten Staaten beheimatet. Die 4,743 Expositionen stellen unsere kombinierten Beobachtungen aller SonicWall SMA VPNs dar, aber wir konnten bestätigen, dass 3,917 VPNs der Serie SMA-1000 sind.
Ein kleiner Prozentsatz der aufgedeckten VPNs der SMA-1000-Serie weist Anzeichen der Appliance oder der zentralen Verwaltungskonsole auf, und nur 91 von ihnen weisen eine Version auf, die möglicherweise anfällig ist.
| Version |
Status der Anfälligkeit |
Host-Zahl |
| 12.4.3 |
Potenziell gefährdet |
65 |
| 12.4.2 |
Verwundbar |
19 |
| 12.4.1 |
Verwundbar |
7 |
Diese Schwachstelle wurde in der Version 12.4.3-02854 (platform-hotfix) behoben, was bedeutet, dass Hosts mit der Version 12.4.3 sind potenziell anfällig sind, aber wir können nicht bestätigen, dass diese Rechner anfällig sind, da die vollständige Build-Nummer nicht offengelegt wird.
Karte der exponierten SonicWall SMA VPNs:
Censys Search Abfrage:
services.software: (vendor="SonicWall" and product="Secure Mobile Access") and services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not labels: {honeypot, tarpit}
Censys ASM-Abfrage:
(host.services.software: (vendor="SonicWall" and product="Secure Mobile Access") or web_entity.instances.software: (vendor="SonicWall" and product="Secure Mobile Access")) and host.services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not host.labels: {honeypot, tarpit}
Censys ASM-Risikoabfrage:
risks.name = "Vulnerable SonicWall Secure Mobile Access [CVE-2025-23006]"
Bitte beachten Sie, dass dieses Risiko erst seit kurzem besteht und es bis zu 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Referenzen
