Sophos e SonicWall corrigem falhas críticas de RCE em Firewalls

Duas gigantes da segurança cibernética, Sophos e SonicWall, emitiram alertas urgentes para seus clientes sobre falhas de segurança críticas em seus produtos Sophos Firewall e nos appliances Secure Mobile Access (SMA) Série 100. As vulnerabilidades, se exploradas, poderiam permitir que um invasor executasse código remotamente, tomando controle dos dispositivos de segurança.

A Sophos detalhou um conjunto de cinco vulnerabilidades, duas das quais são consideradas extremamente perigosas, com pontuação máxima de 9.8 no sistema CVSS:

• CVE-2025-6704 (CVSS 9.8): Uma falha de escrita arbitrária de arquivos no recurso Secure PDF eXchange (SPX). Um invasor pode explorar esta brecha antes mesmo de se autenticar para executar código remotamente, desde que uma configuração específica do SPX esteja habilitada e o firewall opere em modo de Alta Disponibilidade (HA).

• CVE-2025-7624 (CVSS 9.8): Uma vulnerabilidade de Injeção de SQL no proxy SMTP legado (transparente). Isso pode levar à execução remota de código se uma política de quarentena de e-mails estiver ativa e o sistema operacional (SFOS) tiver sido atualizado de uma versão anterior à 21.0 GA.

De acordo com a Sophos, a falha CVE-2025-6704 afeta aproximadamente 0.05% dos dispositivos, enquanto a CVE-2025-7624 impacta cerca de 0.73%.

Além dessas, a empresa corrigiu outras três falhas importantes:

• CVE-2025-7382 (CVSS 8.8): Uma falha de injeção de comando no WebAdmin que permite execução de código pré-autenticação em dispositivos auxiliares em modo HA.

• CVE-2024-13974 (CVSS 8.1): Uma vulnerabilidade lógica no componente de atualização (Up2Date) que pode permitir a um invasor controlar o ambiente DNS do firewall para executar código.

• CVE-2024-13973 (CVSS 6.8): Uma falha de Injeção de SQL pós-autenticação no WebAdmin, potencialmente permitindo a execução de código arbitrário.

As duas últimas vulnerabilidades (CVE-2024-13974 e CVE-2024-13973) foram descobertas e reportadas pelo Centro Nacional de Segurança Cibernética do Reino Unido (NCSC). As correções já foram distribuídas via hotfix automático para a maioria das configurações.

Paralelamente, a SonicWall detalhou uma vulnerabilidade crítica, identificada como CVE-2025-40599 (CVSS 9.1), na interface de gerenciamento web de seus appliances da série SMA 100 (modelos SMA 210, 410, 500v). A falha permite que um invasor remoto com privilégios de administrador faça upload de arquivos arbitrários, o que pode levar à execução remota de código.

A correção foi disponibilizada na versão 10.2.2.1-90sv.

A urgência deste patch é amplificada por um relatório recente do Google Threat Intelligence Group (GTIG). O relatório revelou que um grupo hacker, rastreado como UNC6148, foi observado explorando dispositivos SMA 100, mesmo que totalmente atualizados, para implantar um backdoor chamado OVERSTEP. Embora a SonicWall afirme que a nova falha CVE-2025-40599 ainda não foi explorada, o histórico de ataques torna a atualização imediata uma prioridade máxima.

Além de aplicar o patch, a SonicWall recomenda fortemente que os clientes da série SMA 100 tomem as seguintes medidas:

1. Desabilitar o acesso de gerenciamento remoto na interface externa (X1) para reduzir a superfície de ataque.

2. Redefinir todas as senhas e reinicializar a associação de senhas de uso único (OTP) para todos os usuários e administradores.

3. Impor a autenticação multifator (MFA) para todos os usuários.

4. Habilitar o Web Application Firewall (WAF) no dispositivo SMA 100.

5. Revisar os logs do appliance e o histórico de conexões em busca de anomalias ou sinais de acesso não autorizado.

   
   

Para organizações que usam o produto virtual SMA 500v, o processo de atualização é mais complexo e exige backup do arquivo OVA, exportação da configuração e uma reinstalação completa da nova versão da máquina virtual.

Via - THN