SonicWall 近日發布安全更新,修補了影響 Secure Mobile Access (SMA) 1000 設備的本地權限提升漏 洞CVE-2025-40602。由於該漏洞已遭實際攻擊利用,該公司強烈呼籲客戶立即套用修補程式。
漏洞被串連成完整攻擊鏈
根據 SonicWall 的說明,攻擊者將
CVE-2025-40602 與另一個已知漏洞
CVE-2025-23006 串連使用,成功達成未經認證的遠端程式碼執行並取得最高權限(root),而駭客可透過這種串連攻擊手法,完全控制受影響的設備。
SMA 1000 系列設備是大型分散式企業用來提供員工安全存取應用程式的解決方案,在企業網路中扮演關鍵角色,未修補的漏洞對組織構成極高風險。根據網路安全監測組織 Shadowserver 的追蹤,
目前仍有超過 950 台 SMA 1000 設備暴露在網際網路上,但部分設備可能已完成修補。
兩個漏洞的技術細節
CVE-2025-23006 是一嚴重等級的
反序列化(deserialization)漏洞,影響設備的 Appliance Management Console(AMC)和 Central Management Console(CMC)。未經認證的攻擊者可利用此漏洞執行任意作業系統指令。該漏洞的 CVSS 評分高達 9.8 分,已於 2025 年 1 月完成修補。
CVE-2025-40602 是本次新揭露的
本地權限提升漏洞,同樣影響 Appliance Management Console。由於授權機制不足,攻擊者將此漏洞與 CVE-2025-23006 串連使用時,就能以最高權限執行作業系統指令。
不過,SonicWall 目前尚未分享攻擊活動的具體細節,也未提供入侵指標(IOC)供組織檢查。
修補建議與防護措施
SonicWall 產品安全事件應變小組(PSIRT)強烈建議 SMA 1000 用戶立即升級至最新修補版本。受影響組織應升級至以下版本:
- 12.4.3-03245(platform-hotfix)或更高版本
- 12.5.0-02283(platform-hotfix)或更高版本
值得注意的是,SonicWall 發言人補充說明,若 SMA 1000 設備已針對 CVE-2025-23006 完成修補,攻擊者就必須找到其他方式存取本地系統使用者帳號,才能利用 CVE-2025-40602。版本 12.4.3-02854(platform-hotfix)及更高版本已阻斷此特定攻擊鏈。但要完全緩解 CVE-2025-40602 的風險,組織仍需實施最新安全公告中的更新程式。
除了套用修補程式外,SonicWall 也建議組織採取額外防護措施,包括限制特定管理員 IP 位址才能存取 AMC,並從公開網路停用 SSL VPN 管理介面(AMC)和 SSH 存取功能。這些措施有助於防範針對控制台的現有及未來漏洞攻擊。
需要注意的是,本次漏洞僅影響 SMA 1000 設備,不影響在 SonicWall 防火牆上執行的 SSL-VPN 功能。
本文轉載自 HelpNetSecurity、BleepingComputer。