SonicWall es un proveedor de soluciones de acceso seguro remoto empresarial, con appliances de Secure Mobile Access (SMA) 100 Series ampliamente utilizadas. Se ha detectado una vulnerabilidad crítica en la interfaz de gestión web de estos dispositivos, que podría ser explotada para desplegar malware sofisticado como OVERSTEP en campañas recientes de actores como UNC6148.
- CVE‑2025‑40599 (CVSS 9.1): Un atacante remoto que ya tenga privilegios administrativos puede explotar esta vulnerabilidad en la interfaz de gestión web de la serie SMA 100 para cargar archivos arbitrarios, lo que podría conducir a la ejecución de código remoto (RCE). No se requiere interacción del usuario; el ataque es de complejidad baja y afecta la confidencialidad, integridad y disponibilidad del sistema.
PRODUCTOS AFECTADOS
Los siguientes productos y versiones están afectados por esta vulnerabilidad:
- SonicWall Secure Mobile Access 100 Series (SMA 210, SMA 410, SMA 500v): versiones iguales o anteriores a la 10.2.1.15‑81sv.
SOLUCIÓN
SonicWall ha lanzado la siguiente versión que contiene la corrección correspondiente:
- Firmware SMA 100 Series: actualizar a la versión 10.2.2.1‑90sv o superior (disponible desde julio de 2025).
Nota: Esta vulnerabilidad no afecta a los dispositivos de la serie SMA 1000 ni al SSL-VPN integrado en firewalls de SonicWall.
RECOMENDACIONES
- Instalar inmediatamente la actualización a versión 10.2.2.1‑90sv o superior en todos los dispositivos afectados.
- Revisar registros de acceso, historial administrativo y buscar indicadores de compromiso (IoCs) vinculados a OVERSTEP y campañas UNC6148.
- Reinicializar contraseñas y OTP para todos los administradores y usuarios.
- Deshabilitar el acceso de gestión remota a la interfaz externa (por ejemplo, X1).
- Habilitar autenticación multifactor (MFA) y el firewall de aplicaciones web si está disponible.
- Para SMA 500v virtuales, reconstruir la VM: removerla completamente, recién desplegar desde la imagen oficial limpia y restaurar configuración de forma segura.
REFERENCIAS
• https://www.bleepingcomputer.com/news/security/surge-of-akira-ransomware-attacks-hits-sonicwall-firewall-devices/
• https://securityaffairs.com/180328/security/sonicwall-fixed-critical-flaw-in-sma-100-devices-exploited-in-overstep-malware-attacks.html
• https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-40599
• https://www.sonicwall.com/support/notices/product-notice-sma100-post-authentication-arbitrary-file-upload-vulnerability/250721070018363
• https://socradar.io/critical-sonicwall-sma-vulnerability-cve-2025-40599
• https://www.helpnetsecurity.com/2025/07/24/sonicwall-fixes-critical-flaw-sma-appliances-urges-customers-to-check-for-compromise-cve-2025-40599
• https://nvd.nist.gov/vuln/detail/CVE-2025-40599
• https://secalerts.co/vulnerability/CVE-2025-40599