O que é a falha CVE‑2025‑40599

A SonicWall divulgou a correção da falha crítica CVE‑2025‑40599 em seus appliances Secure Mobile Access (SMA) da série 100. Essa vulnerabilidade permite que um invasor autenticado faça upload arbitrário de arquivos, possibilitando a execução remota de código.

Como funciona a vulnerabilidade

Essa falha afeta os modelos SMA 210, 410 e 500v com firmware até a versão 10.2.1.15‑81sv, exigindo atualização para a versão 10.2.2.1‑90sv ou superior. A vulnerabilidade pode ser explorada caso credenciais administrativas sejam comprometidas.

Sinais de alerta / Como identificar

A campanha de invasão, atribuída ao grupo UNC6148, implantou um backdoor chamado OVERSTEP em appliances fora de suporte. Resultados indicam que essas ações estão ocorrendo há pelo menos seis meses, visando o roubo de dados e extorsão, possivelmente vinculadas a ransomware.

O que fazer agora / Como se proteger

Mesmo em dispositivos atualizados, o acesso pode ser mantido se credenciais administrativas e tokens OTP forem comprometidos. A SonicWall recomenda as seguintes ações:

1. Atualize imediatamente o firmware para versões ≥ 10.2.2.1‑90sv;
2. Revise logs e histórico de conexões antes e após a atualização;
3. Implemente MFA e reinicialize qualquer configuração de OTP;
4. Desabilite gestão remota via interface externa;
5. Ative Web Application Firewall (WAF) e monitore uploads/sites suspeitos.

Prevenção / Boas práticas

A correção da CVE‑2025‑40599 destaca o risco que vulnerabilidades em appliances críticos representam. Administradores devem agir rapidamente e implementar múltiplas camadas de segurança para proteger suas infraestruturas de acesso remoto.