SonicWall Vulnerablidad día cero bajo explotación
SonicWall ha anunciado el descubrimiento de una vulnerabilidad que afecta a su producto SonicWall SMA1000 Appliance Management Console (AMC), relacionada con una cadena para realizar ataques de día cero con el objetivo de escalar privilegios.
CVE-2025-40602
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 6.6, afecta al servicio SonicWall SMA1000 Appliance Management Console (AMC), un panel web para la administración centralizada de equipos SonicWall SMA 1000 que suele ser utilizado por grandes organizaciones para proveer acceso VPN a redes corporativas, por lo cual se requiere especial atención para llevar a cabo actualizaciones. Este producto es vulnerable debido a que no lleva a cabo una validación de autorización para el acceso a recursos ni para realizar algunas acciones.
Algo particularmente peligroso de esta vulnerabilidad, es que puede encadenarse con otra vulnerabilidad, CVE-2025-23006, para poder llevar a cabo ataques de día cero que permitan la ejecución arbitraria de código, con privilegios root, a nivel de sistema operativo. Se han identificado cerca de 950 aplicativos de SMA expuestos en el internet, aunque algunos podrían estar actualizados.
SonicWall también anunció que la vulnerabilidad CVE-2025-40602 ya se encuentra bajo explotación, en conjunto con la vulnerabilidad anteriormente mencionada (presente desde enero de 2025). La única forma de explotar esta nueva vulnerabilidad requiere que no se haya corregido la vulnerabilidad CVE-2025-23006 o que un actor de amenaza ya cuente con acceso a una cuenta local del sistema.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| SMA1000 | 12.4.3-03093 (platform-hotfix) y anteriores | Versiones mayores a la 12.4.3-03093 |
| 12.5.0-02002 (platform-hotfix) y anteriores | Versiones mayores a la 12.5.0-02002 |
Recomendaciones
- Actualizar inmediatamente los productos y dispositivos afectados.
- Implementar controles de acceso estrictos en la Consola de Administración del Aplicativo.
- Restringir el acceso mediate SSH únicamente a través de conexiones VPN o direcciones IP designadas.
- Deshabilitar el acceso desde internet al AMC y servicios de SSH públicos del mismo.
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Divya. (2025, 18 de Diciembre). Hackers Actively Exploit SonicWall SMA1000 Zero-Day to Escalate Privileges. GBHackers. Recuperado el 18 de diciembre de 2025, en: https://gbhackers.com/hackers-actively-exploit-sonicwall-sma1000-zero-day/
- Gatlan, S. (2025, 17 de Diciembre). Sonicwall warns of new SMA1000 zero-day exploited in attacks. BleepingComputer. Recuperado el 18 de diciembre de 2025, en: https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/
- Wright, R. (2025, 18 de Diciembre). SonicWall Edge Access Devices Hit by Zero-Day Attacks. Dark Reading. Recuperado el 18 de diciembre de 2025, en: https://www.darkreading.com/vulnerabilities-threats/sonicwall-edge-devices-zero-day-attacks
