Vulnérabilités critiques dans SonicWALL SMA (CVE-2025-40596, CVE-2025-40597, CVE-2025-40598)
Résumé
Le 23 juillet 2025, SonicWALL a publié trois vulnérabilités récemment révélées dans les appareils de la série Secure Mobile Access (SMA) 100 de SonicWALL : CVE-2025-40596, CVE-2025-40597 et CVE-2025-40598. Les vulnérabilités, si elles sont exploitées avec succès, vont de la possibilité à des attaquants non authentifiés d'effectuer une attaque par déni de service (DoS) à l'exécution de code JavaScript arbitraire. Les vulnérabilités ont été découvertes et signalées à SonicWALL par une société de cybersécurité tierce, et SonicWALL a rapidement publié des correctifs via les canaux de mise à jour habituels. En outre, SonicWALL n'avait pas confirmé l'exploitation active de vulnérabilités au moment de la rédaction de cet article. Cependant, la société de sécurité déclarante a publié des détails de preuve de concept et des procédures techniques, augmentant ainsi la probabilité d'une exploitation active.
L'exploitation ne nécessite pas d'authentification et peut être déclenchée via Internet, ce qui fait des systèmes non corrigés des cibles très attrayantes. Beazley Security recommande aux organisations utilisant des appareils de la série SMA 100 concernés (SMA 210, 410 et 500v) de donner immédiatement la priorité à l'application de correctifs.
Systèmes ou produits concernés
Cette vulnérabilité affecte les appliances SonicWALL de la série SMA 100.
Atténuations et solutions de contournement
En raison de la nature de ces appareils connectés à Internet, Beazley Security recommande d'appliquer immédiatement les correctifs.
- Si l'application des correctifs ne peut pas être effectuée immédiatement, il est conseillé aux administrateurs de restreindre l'accès externe ou d'isoler les appliances SMA100 vulnérables afin de n'autoriser que des plages et des services réseau fiables.
- Mettez en œuvre une surveillance en temps réel pour détecter les pannes inhabituelles du système, les modèles de trafic et les tentatives de déni de service.
- Appliquez la fonctionnalité WAF au SMA100.
Patchs
SonicWALL a publié la version 10.2.2.1-90 du correctif pour les produits SMA100. Le correctif peut être trouvé en vous connectant à l'application Web MySonicWALL :
- Connectez-vous à https://www.mysonicwall.com/
- Accédez à la section « Ressources et assistance | Mes téléchargements » et sélectionnez le modèle concerné dans la liste fournie
Des informations spécifiques sur le correctif sont disponibles sur Avis de sécurité de SonicWall.
Indicateurs de compromis
Sur la base des informations disponibles au moment de cette publication, aucun indicateur officiel de compromission n'a été publié par SonicWall. Comme l'exploitation cible une faiblesse de la gestion de la mémoire et des bogues de corruption de la mémoire, les IOC traditionnels peuvent ne pas être immédiatement disponibles dans les journaux.
- Événements répétés de plantage ou de redémarrage du service impliquant des processus du système SMA
- Suppressions de session inattendues et redémarrages de l'appareil
- Paramètres de requête GET remplis ou anormalement longs envoyés au point de terminaison de l'API _api_/v1/
- Événements WAF suspects (s'ils sont autorisés et activés) sur le SMA10
- Tentatives suspectes de script intersite visant le point de terminaison de Radius :
<target>hxxps :///cgi-bin/RadiusChallengeLogin
Détails techniques
CVE-2025-40596 et CVE-2025-40597
Ces deux vulnérabilités sont des bogues de corruption de mémoire classiques dans le système d'API de l'appliance. Dans les deux cas, si une grande quantité de données est envoyée à une URL spécifique, le logiciel ne gère pas correctement les données anormalement volumineuses, ce qui entraîne une corruption de la mémoire système. Cela entraîne normalement un crash et un déni de service (DoS), mais un trafic d'attaque soigneusement conçu peut parfois permettre aux acteurs de la menace d'exécuter du code à distance (RCE) sur l'appliance victime.
Heureusement, dans ce cas, la vulnérabilité de débordement de pile (CVE-2025-40596) serait atténuée par un mécanisme de protection au niveau du système connu sous le nom de stack canary. En outre, le débordement du tas (CVE-2025-40597) est quelque peu atténué par le fait que, dans des conditions normales de fonctionnement, la mémoire environnante autour de l'emplacement du bogue est très volatile et n'est pas suffisamment prévisible pour permettre une exploitation cohérente. Dans les deux cas, les organisations peuvent rechercher des indicateurs d'attaque en examinant les requêtes suspectes adressées à l'API. Plus précisément, pour CVE-2025-40596, les tentatives d'attaque se présenteront comme suit :
OBTENEZ /__api__/v1/ <attack payload>
Et pour CVE-2025-40597, les tentatives d'attaque ressembleront à ce qui suit :
GET /__api__/ HTTP/1.1
Hôte : <attack payload>
<other HTTP headers>
CVE-2025-40598
Cette vulnérabilité est un bogue de script intersite réflexif (XSS) qui est généralement utilisée par un acteur malveillant pour voler des données d'authentification (comme des cookies de session) aux utilisateurs afin d'obtenir un accès non autorisé. Cela est quelque peu atténué par le fait qu'une attaque réussie implique généralement qu'un acteur de la menace crée un lien ou un formulaire malveillant, puis incite un utilisateur interne à cliquer dessus ou à le soumettre. Ce niveau d'interactivité entre les utilisateurs tend à limiter la portée d'une campagne basée sur ce type d'exploit.
Les tentatives d'attaque contre ce système vulnérable ressembleront à ce qui suit :
<target>hxxps :///cgi-bin/RadiusChallengeConnexion ? <attack payload>PortalName=Portal1&Status=NeedChallenge&State= » »
Comment Beazley Security réagit
Beazley Security surveille les appareils périmétriques des clients via notre produit Karma afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.
Nous menons également des recherches sur les menaces dans notre environnement MDR afin de détecter les tentatives d'exploitation potentielles contre nos clients.
Sources
Aware of an incident impacting your industry? Let us know: