Date de la divulgation (source) : 22 janvier 2025
Date de déclaration d'exploitation active (source) : 24 janvier 2025
**Mise à jour** (28 janvier 2025) :
Nous avions initialement indiqué que 3 534 VPN SonicWall SMA de la série 1000 étaient potentiellement vulnérables à la vulnérabilité CVE-2025-23006. Cette estimation était basée sur l'identification de dispositifs utilisant une version vulnérable du micrologiciel, sans tenir compte du fait que les interfaces de gestion - spécifiquement affectées par cette vulnérabilité - étaient accessibles au public. Ces interfaces de gestion exposées sont plus susceptibles d'être ciblées par des acteurs distants.
Lorsque nous filtrons uniquement les dispositifs exposant une interface Appliance ou Central Management Console, nous détectons 91 interfaces de connexion potentiellement vulnérables.
Vous trouverez ci-dessous une requête pour toutes les consoles de gestion exposées, quelle que soit la version, qui ne sont pas toutes nécessairement vulnérables (voir notre politique de partage des requêtes de réponse rapide).
services.software: (vendor="SonicWall" and product="Secure Mobile Access") and services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not labels: {honeypot, tarpit}
La section " Censys Perspective" ci-dessous a été mise à jour pour refléter ces résultats.
CVE-2025-23006 est une vulnérabilité critique d'exécution de code à distance (RCE) affectant les VPN Secure Mobile Access (SMA) de la série 1000 de SonicWall avec un score CVSS de 9.8.
La faille se trouve dans les versions 12.4.3-02804 et antérieures de l'Appliance Management Console (AMC) et de la Central Management Console (CMC) du SMA1000. Si elle est exploitée avec succès, elle permet à des attaquants non authentifiés d'exécuter des commandes arbitraires du système d'exploitation.
Le 24 janvier 2025, cette vulnérabilité a été ajoutée à la liste des vulnérabilités exploitées connues (KEV) de la CISA. Bien que les détails spécifiques concernant l'activité de la menace ne soient pas clairs, SonicWall a confirmé les rapports d'exploitation active.
Les vulnérabilités SMA de SonicWall, notamment les vulnérabilités CVE-2021-20016 et CVE-2021-20028, ont toujours été la cible des cybercriminels. Les groupes de ransomware UNC2447, HelloKitty et FiveHands sont notamment connus pour cibler les vulnérabilités SMA de SonicWall.
SonicWall a demandé aux utilisateurs de corriger les instances affectées en mettant à jour vers la version 12.4.3-02854 (platform-hotfix) et les versions supérieures. En outre, la société a conseillé aux clients de restreindre l'accès aux sources de confiance pour les consoles Appliance et Central Management.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2025-23006 - CVSS 9.8 (critique) - attribué par CISA-ADP |
| Description de la vulnérabilité |
Une vulnérabilité de désérialisation de données non fiables avant l'authentification a été identifiée dans l'Appliance Management Console (AMC) et la Central Management Console (CMC) du SMA1000. Dans des conditions spécifiques, cette vulnérabilité pourrait permettre à un attaquant distant non authentifié d'exécuter des commandes arbitraires du système d'exploitation. |
| Date de la divulgation |
22 janvier 2025 |
| Actifs touchés |
SonicWall AMC et CMC dans les VPN de la série SMA1000 |
| Versions de logiciels vulnérables |
Avant et y compris la version 12.4.3-02804 |
| PoC disponible ? |
Nous n'avons pas observé d'exploits publics disponibles au moment de la rédaction du présent document. |
| Statut d'exploitation |
Cette vulnérabilité a été ajoutée à CISA KEV le 24 janvier 2025. |
| Statut du patch |
Cette vulnérabilité a été corrigée par le fournisseur dans la version 12.4.3-02854 (platform-hotfix) et les versions ultérieures. |
Censys Perspective
Au moment de la rédaction du présent rapport, Censys a observé 4,743 VPN SonicWall SMA exposés. Une proportion importante de ces dispositifs (42%) est géolocalisée aux États-Unis. Les 4,743 représentent nos observations combinées de tous les VPN SonicWall SMA, mais nous avons pu confirmer que 3,917 sont des VPN de la série SMA-1000.
Un faible pourcentage des VPN SMA-1000 exposés présente des signes d'Appliance ou de Central Management Consoles, et seulement 91 d'entre eux révèlent une version qui pourrait être vulnérable.
| Version |
État de la vulnérabilité |
Nombre d'hôtes |
| 12.4.3 |
Potentiellement vulnérable |
65 |
| 12.4.2 |
Vulnérable |
19 |
| 12.4.1 |
Vulnérable |
7 |
Cette vulnérabilité a été corrigée dans la version 12.4.3-02854 (platform-hotfix), ce qui signifie que les hôtes exposant la version 12.4.3 sont potentiellement vulnérables, mais nous ne pouvons pas confirmer que ces hôtes sont vulnérables car le numéro de build complet n'est pas exposé.
Carte des VPN SonicWall SMA exposés :
Censys Requête de recherche :
services.software: (vendor="SonicWall" and product="Secure Mobile Access") and services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not labels: {honeypot, tarpit}
Censys Requête ASM :
(host.services.software: (vendor="SonicWall" and product="Secure Mobile Access") or web_entity.instances.software: (vendor="SonicWall" and product="Secure Mobile Access")) and host.services.http.response.html_title:{"Appliance Management Console Login", "Central Management Console Login"} and not host.labels: {honeypot, tarpit}
Censys Demande de renseignements sur les risques de l'ASM :
risks.name = "Vulnerable SonicWall Secure Mobile Access [CVE-2025-23006]"
Veuillez noter que ce risque a été récemment déployé et que les résultats peuvent prendre jusqu'à 24 heures pour se propager complètement.
Références
