A SonicWall confirmou que duas vulnerabilidades de segurança, agora corrigidas, em seus dispositivos da linha SMA100 Secure Mobile Access foram ativamente exploradas em ataques reais. As falhas, classificadas com níveis altos de gravidade, afetam modelos como SMA 200, 210, 400, 410 e 500v, e colocam em risco a integridade de redes que utilizam esses equipamentos para acesso remoto seguro.

A primeira falha, identificada como CVE-2023-44221, possui uma pontuação de 7.2 no CVSS. Ela permite que um invasor autenticado com privilégios administrativos injete comandos arbitrários como o usuário “nobody” na interface de gerenciamento SSL-VPN, o que pode resultar em execução de comandos no sistema operacional. Já a segunda vulnerabilidade, CVE-2024-38475, é ainda mais grave, com pontuação CVSS de 9.8. O problema está na forma como a saída é tratada no módulo mod_rewrite do servidor Apache HTTP 2.4.59 e versões anteriores. Isso possibilita que um atacante mapeie URLs para locais no sistema de arquivos que podem ser indevidamente acessados e servidos pelo servidor.

A SonicWall corrigiu ambas as falhas em dezembro, por meio das atualizações 10.2.1.10-62sv para o CVE-2023-44221 e 10.2.1.14-75sv para o CVE-2024-38475. No entanto, em uma atualização publicada em 29 de abril de 2025, a empresa informou que os bugs estão sendo explorados em campo e alertou os clientes a verificarem se há acessos não autorizados em seus dispositivos SMA. Durante análises complementares, a SonicWall e parceiros de segurança identificaram uma nova técnica de exploração relacionada ao CVE-2024-38475. A falha permite que atacantes acessem arquivos específicos que podem ser usados para sequestrar sessões ativas de usuários legítimos. Até o momento, não foram divulgadas informações sobre os métodos de ataque utilizados, os alvos específicos ou a extensão dos danos causados.