This post is also available in: Português
A vulnerabilidade CVE-2025-10159 chama a atenção por sua gravidade: um bypass de autenticação que permite a invasores remotos assumirem privilégios administrativos em pontos de acesso sem fio Sophos da série AP6.
Com pontuação CVSS de 9.8, o problema é classificado como crítico e exige ação imediata das organizações que utilizam esses equipamentos.
Sobre a Sophos e a linha AP6
A Sophos é uma empresa global de cibersegurança, reconhecida por soluções que englobam firewall, proteção de endpoint, segurança de e-mail e redes sem fio.
A série AP6 é voltada para conectividade Wi-Fi corporativa, oferecendo alto desempenho e integração com a plataforma de gerenciamento Sophos Central. Esses pontos de acesso são amplamente adotados em ambientes que exigem redes seguras e escaláveis, tornando a falha ainda mais preocupante.
Detalhes da CVE-2025-10159
O bypass de autenticação ocorre em versões de firmware anteriores à 1.7.2563 (MR7) dos pontos de acesso Sophos AP6. Um atacante remoto pode explorar a falha para contornar os mecanismos de autenticação, obtendo acesso administrativo completo ao dispositivo. Isso significa que é possível alterar configurações de rede, interceptar tráfego, criar backdoors ou desativar recursos de segurança — abrindo caminho para comprometimento de toda a infraestrutura Wi-Fi.
De acordo com os avisos publicados, não é necessário que o invasor tenha credenciais válidas ou interação do usuário, o que amplia o risco de exploração em larga escala.
Impacto e risco para as organizações
A exploração bem-sucedida da CVE-2025-10159 concede controle total do ponto de acesso, permitindo que o atacante:
- Intercepte e manipule o tráfego de rede sem fio.
- Implante malwares ou scripts para persistência.
- Movimente-se lateralmente dentro da rede corporativa, comprometendo outros sistemas.
Como se trata de uma vulnerabilidade com exploração remota e sem autenticação, ambientes que expõem os dispositivos AP6 à internet ou que não segmentam corretamente a rede ficam especialmente vulneráveis.
Mitigação e atualização recomendada
A Sophos já disponibilizou correções no firmware 1.7.2563 (MR7). Administradores devem:
- Atualizar imediatamente todos os pontos de acesso AP6 para a versão corrigida ou superior.
- Verificar se as interfaces de gerenciamento não estão acessíveis diretamente pela internet.
- Monitorar logs e eventos em busca de atividades suspeitas.
Ambientes que não possam atualizar de imediato devem considerar medidas emergenciais, como isolar os dispositivos vulneráveis e reforçar as políticas de segmentação de rede.
Com uma pontuação CVSS de 9.8, a CVE-2025-10159 é crítica e exige resposta urgente. Organizações que utilizam pontos de acesso Sophos AP6 devem aplicar o firmware corrigido sem demora para evitar que invasores explorem o bypass de autenticação e comprometam sua infraestrutura sem fio.
This post is also available in: Português