CISA confirma exploração de vulnerabilidades do SonicWall

CISA confirma exploração de vulnerabilidades do SonicWall

O fornecedor de segurança de ponta SonicWall enfrenta uma nova onda de vulnerabilidades que afetam seus produtos, que estão sendo exploradas em campo aberto.

Em 1º de maio, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou duas novas vulnerabilidades ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), CVE-2023-44221 e CVE-2024-38475.

CVE-2023-44221: Injeção de comando pós-autenticação da SonicWall em 2023

CVE-2023-44221 é uma vulnerabilidade de injeção de comando pós-autenticação causada pela neutralização inadequada de elementos especiais no Secure Mobile Access (SMA) da SonicWall, especificamente na interface de gerenciamento SMA 100 SSL-VPN.

Quando explorada, essa falha de alta gravidade (pontuação base de 7,2 no CVSS 3.1) permite que um invasor autenticado remotamente com privilégios administrativos injete comandos arbitrários como um usuário “ninguém”. Ela afeta os sistemas SMA 200, SMA 210, SMA 400, SMA 410 e SMA 500v.

Ele foi detectado por um pesquisador de segurança, Wenjie Zhong (também conhecido como H4lo) do laboratório Webin da DBappSecurity Co., Ltd, e foi divulgado pela SonicWall, uma Autoridade de Numeração CVE (CNA), em dezembro de 2023.

A SonicWall também lançou uma correção na série SMA 100 versão 10.2.1.10-62sv e superiores e a compartilhou em um aviso de segurança também publicado em dezembro de 2023.

Em uma atualização de consultoria em 29 de abril de 2025, a SonicWall confirmou que o CVE-2023-44221 está “potencialmente sendo explorado na prática”.

Essa exploração foi agora confirmada pela CISA.

CVE-2024-38475: Leitura de arquivo arbitrário de pré-autenticação do Apache HTTP Server 2024

CVE-2024-38475 é uma leitura de arquivo arbitrária de pré-autenticação que afeta o Apache HTTP Server.

Ela foi divulgada pela primeira vez por Orange Tsai, pesquisador principal de segurança da Devcore, na Black Hat USA 2024, como uma das nove vulnerabilidades diferentes no Apache HTTP Server.

CVE-2024-38475 é uma falha crítica (pontuação base de 9,8 no CVSS 3.1) causada pelo escape incorreto da saída em mod_rewrite no Apache HTTP Server 2.4.59 e versões anteriores. Quando explorada, permite que um invasor mapeie URLs para locais do sistema de arquivos que podem ser servidos pelo servidor.

Apesar de aparecer oficialmente como uma vulnerabilidade do Apache, o CVE-2024-38475 também afeta a série SMA 100 da SonicWall (SMA 200, 210, 400, 410 e 500v) para a versão 10.2.1.13-72sv e anteriores, explicou o WatchTowr Labs em um novo relatório sobre as duas vulnerabilidades, publicado em 2 de maio de 2025.

“Embora este seja um CVE anexado ao Servidor HTTP Apache, é importante observar que, devido à forma como os CVEs são atribuídos agora, um CVE separado não será atribuído para o uso da versão vulnerável pela SonicWall”, diz o relatório do WatchTowr. “Isso torna a situação confusa para aqueles que respondem à listagem de KEV da CISA – a CISA está se referindo às duas vulnerabilidades combinadas sendo usadas para atacar dispositivos SonicWall.”

CVE-2024-38475 foi divulgado pela Apache Software Foundation, outra CNA, em julho de 2024.

Em dezembro de 2024, a SonicWall lançou um aviso de segurança abordando seis vulnerabilidades que afetavam sua série SMA 100, incluindo CVE-2024-38475.

O aviso inclui uma correção na série SMA 100 10.2.1.14-75sv e superiores.

A SonicWall atualizou o aviso em 29 de abril de 2025 para alertar os usuários de que o CVE-2024-38475 e as cinco falhas relacionadas poderiam ser exploradas.

O WatchTowr compartilhou um exploit de encadeamento de prova de conceito (poC) para CVE-2023-44221 e CVE-2024-38475 em seu relatório.

fonte: Infosecurity Magazine