Fecha de divulgación (fuente): 22 de enero de 2025
Fecha en que se comunicó que había sido explotado activamente (fuente): 24 de enero de 2025
**Actualización** (28 de enero de 2025):
En un principio informamos de que 3.534 VPN SonicWall SMA serie 1000 expuestas eran potencialmente vulnerables a CVE-2025-23006. Esta estimación se basaba en la identificación de dispositivos que ejecutaban una versión de firmware vulnerable, sin tener en cuenta si las interfaces de gestión -especialmente afectadas por esta vulnerabilidad- eran de acceso público. Estas interfaces de gestión expuestas tienen más probabilidades de ser el objetivo de agentes remotos.
Cuando filtramos sólo los dispositivos que exponen una interfaz de dispositivo o de consola de gestión central, detectamos 91 interfaces de vulnerables.
A continuación se muestra una consulta para todas las consolas de gestión expuestas independientemente de la versión, no todas las cuales son necesariamente vulnerables (consulte nuestra política para compartir consultas de Respuesta Rápida).
services.software: (vendor="SonicWall" and product="Secure Mobile Access") and services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not labels: {honeypot, tarpit}
La sección Perspectiva de Censys que figura a continuación se ha actualizado para reflejar estos resultados.
CVE-2025-23006 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a las VPN Secure Mobile Access (SMA) de la serie 1000 de SonicWall con una puntuación CVSS de 9,8.
El fallo se encuentra en las versiones 12.4.3-02804 y anteriores de SMA1000 Appliance Management Console (AMC) y Central Management Console (CMC). Si se explota con éxito, permite a atacantes no autenticados ejecutar comandos arbitrarios del sistema operativo.
El 24 de enero de 2025, esta vulnerabilidad se añadió a la lista de vulnerabilidades explotadas conocidas (KEV) de CISA. Aunque los detalles específicos sobre la actividad de las amenazas siguen sin estar claros, SonicWall ha confirmado informes de explotación activa.
Las vulnerabilidades SMA de SonicWall tienen un historial de ser objetivos de los ciberdelincuentes, incluyendo CVE-2021-20016 y CVE-2021-20028. En concreto, se sabe que los grupos de ransomware UNC2447, HelloKitty y FiveHands han atacado las vulnerabilidades SMA de SonicWall.
SonicWall ha instado a los usuarios a parchear las instancias afectadas actualizando a la versión 12.4.3-02854 (platform-hotfix) y superiores. Además, han aconsejado a los clientes que restrinjan el acceso a las fuentes de confianza para las consolas Appliance & Central Management.
| Campo |
Detalles |
| CVE-ID |
CVE-2025-23006 - CVSS 9.8 (crítico) - asignado por CISA-ADP |
| Descripción de la vulnerabilidad |
Se ha identificado una vulnerabilidad de deserialización previa a la autenticación de datos no fiables en la Consola de administración de dispositivos (AMC) y la Consola de administración central (CMC) de SMA1000, que en condiciones específicas podría permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios del sistema operativo. |
| Fecha de divulgación |
22 de enero de 2025 |
| Activos afectados |
SonicWall AMC y CMC en VPN de la serie SMA1000 |
| Versiones de software vulnerables |
Anterior a la versión 12.4.3-02804 inclusive |
| ¿PoC disponible? |
No observamos ningún exploit público disponible en el momento de escribir este artículo. |
| Estado de explotación |
Esta vulnerabilidad se añadió a CISA KEV el 24 de enero de 2025. |
| Estado del parche |
Esta vulnerabilidad fue solucionada por el proveedor en la versión 12.4.3-02854 (platform-hotfix) y versiones superiores. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 4,743 VPN SonicWall SMA expuestas. Una proporción significativa de estos dispositivos (42%) están geolocalizados en Estados Unidos. La dirección 4,743 exposiciones representan nuestras observaciones combinadas de todas las VPN de SonicWall SMA, pero pudimos confirmar que 3,917 son VPN de la serie SMA-1000.
Un pequeño porcentaje de las VPN de la serie SMA-1000 expuestas muestran signos de las consolas de dispositivo o de gestión central, y sólo 91 de ellas revelan una versión que puede ser vulnerable.
| Versión |
Estado de vulnerabilidad |
Recuento de anfitriones |
| 12.4.3 |
Potencialmente vulnerable |
65 |
| 12.4.2 |
Vulnerable |
19 |
| 12.4.1 |
Vulnerable |
7 |
Esta vulnerabilidad se solucionó en la versión 12.4.3-02854 (platform-hotfix), lo que significa que los hosts que exponen la versión 12.4.3 son potencialmente vulnerables, pero no podemos confirmar que lo sean porque el número de compilación completo no está expuesto.
Mapa de VPN SonicWall SMA expuestas:
Censys Consulta de búsqueda:
services.software: (vendor="SonicWall" and product="Secure Mobile Access") and services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not labels: {honeypot, tarpit}
Censys Consulta ASM:
(host.services.software: (vendor="SonicWall" and product="Secure Mobile Access") or web_entity.instances.software: (vendor="SonicWall" and product="Secure Mobile Access")) and host.services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not host.labels: {honeypot, tarpit}
Censys Consulta de riesgos ASM:
risks.name = "Vulnerable SonicWall Secure Mobile Access [CVE-2025-23006]"
Tenga en cuenta que este riesgo se ha desplegado recientemente y que los resultados pueden tardar hasta 24 horas en propagarse por completo.
Referencias
