CVE 2min de Leitura - 04 de agosto de 2025

Três vulnerabilidades expõem dispositivos SonicWall SMA100: CVE-2025-40596, CVE-2025-40597 e CVE-2025-40598

cve-2025-40596-cve-2025-40597-cve-2025-40598

This post is also available in: Português

As falhas identificadas como CVE 2025 40596, CVE 2025 40597 e CVE 2025 40598 afetam dispositivos da série SonicWall Secure Mobile Access (SMA100), incluindo os modelos SMA 210, SMA 410 e SMA 500v, em firmwares até a versão 10.2.1.15 81sv.

A primeira delas é um estouro de buffer na pilha que pode causar negação de serviço ou até execução remota de código, enquanto a segunda é um estouro no heap. A terceira vulnerabilidade se trata de um XSS refletido: permite a execução de código JavaScript arbitrário no navegador de usuários que acessarem links maliciosos.

Dispositivos afetados

Essas falhas atingem principalmente os modelos SMA 210, SMA 410 e SMA 500v, rodando versões de firmware até a 10.2.1.15 81sv. Em ambientes corporativos que utilizam essa série para VPN segura, a interface de gestão web fica exposta à internet, aumentando a superfície de ataque. A SonicWall publicou um aviso de segurança recomendando atualização imediata para versões corrigidas, sem relatar casos de exploração ativa até o momento.

Como as vulnerabilidades foram descobertas

As falhas foram identificadas pela equipe da WatchTowr Labs, que conduziu uma análise detalhada do comportamento da interface web dos dispositivos.

A investigação revelou falhas clássicas, como estouros de buffer e ausência de validações adequadas nas requisições HTTP, que permitem a um atacante explorar o sistema remotamente. O relatório técnico publicado pelos pesquisadores mostra que os ataques podem ser realizados sem qualquer autenticação, aumentando significativamente o risco de exploração em ambientes expostos.

CVE-2025-40596: Estouro de buffer na pilha (Stack Overflow)

Essa vulnerabilidade, com pontuação CVSS 7.3, permite a execução de código arbitrário por meio de um estouro de buffer na pilha.

A falha ocorre no binário httpd, quando uma URI iniciando com [/__api__/v1/] é usada para desencadear um estouro de buffer no stack via sscanf, sem verificação de limites. Isso pode causar Denial of Service ou até abrir caminho para execução de código em contextos específicos, já que a proteção de stack está presente, mas não elimina totalmente o risco.

Ou seja, essa vulnerabilidade acontece quando o dispositivo tenta processar certas informações recebidas pela internet e, por falta de controle adequado, acaba “se atrapalhando” e armazenando dados além do que consegue suportar — o que chamamos de estouro de buffer. Isso pode fazer o sistema travar ou, em situações mais graves, permitir que um invasor execute comandos dentro do dispositivo. O mais preocupante é que o ataque pode ser feito remotamente e sem necessidade de login, o que aumenta bastante o risco.

CVE-2025-40597: Estouro de buffer no heap (Heap Overflow)

Essa falha é parecida com a anterior, mas afeta outra área da memória do equipamento. Ela também envolve o processamento incorreto de dados recebidos de fora, o que pode causar travamentos e comportamento inesperado. Embora seja um pouco mais difícil de explorar, essa brecha pode ser usada para derrubar o serviço ou até para preparar o terreno para um ataque mais avançado.

CVE-2025-40598: XSS refletido na interface web

Já a CVE-2025-40598, classificada com CVSS 6.1, é diferente das outras, essa falha não afeta a memória do sistema, mas sim a forma como ele responde a certas solicitações feitas pela web. Um invasor pode criar um link malicioso e, se alguém clicar nele, o navegador da vítima pode executar códigos maliciosos — como se tivessem vindo do próprio site confiável. Isso pode ser usado, por exemplo, para roubar informações da sessão, como dados de login ou outras credenciais..

Recomendações e mitigações

A SonicWall recomenda com urgência atualizar todos os dispositivos SMA100 afetados para o firmware 10.2.2.1 90sv ou superior, que corrige as três vulnerabilidades. A fabricante também sugere a ativação de autenticação multifator (MFA) e do Web Application Firewall (WAF) embutido nos dispositivos como medidas provisórias até a aplicação do patch, além de restringir o acesso à interface de administração por IP confiável e monitorar logs para identificar atividades suspeitas.

This post is also available in: Português