🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A SonicWall alertou sobre a exploração ativa de duas vulnerabilidades de dia zero que afetam os dispositivos da série 1000 do Secure Mobile Access (SMA), uma das quais poderia ser explorada para obter execução arbitrária de comandos.
As vulnerabilidades estão listadas abaixo -
CVE-2026-15409 (pontuação CVSS: 10,0) – Uma vulnerabilidade de falsificação de solicitação no lado do servidor (SSRF) que um invasor remoto não autenticado pode explorar para potencialmente fazer com que o dispositivo faça solicitações para um local não intencional.
CVE-2026-15410 (pontuação CVSS: 7,2) – Uma vulnerabilidade de injeção de código pós-autenticação enraizada no Appliance Management Console (AMC) que um invasor autenticado remotamente pode explorar para executar comandos arbitrários do sistema operacional como administrador sob certas condições.
A SonicWall disse que “investigou vários casos que indicam a exploração ativa das vulnerabilidades”, pedindo aos clientes que apliquem as correções o mais rápido possível. Os patches estão disponíveis nas seguintes versões -
12.4.3-03453 (hotfix de plataforma) e versões superiores
12.5.0-02835 (hotfix de plataforma) e versões superiores
Os usuários também são incentivados a realizar uma análise forense completa do sistema para determinar a presença de quaisquer indicadores de comprometimento (IoCs) associados à exploração -
Se em extraweb_access.log forem mencionadas solicitações para /__api__/login ou /__api__/logout com status http 200
Se em extraweb_access.log forem mencionadas solicitações para /wsproxy com parâmetros de host suspeitos com status 101 http
Se em ctrl-service.log forem mencionadas reversões de hotfix com nomes de passagem de caminho
Se /var/lib/unit/conf.json contém rotas para /__api__/login ou /__api__/logout (esses URIs não existem na configuração legítima)
Caso um desses indicadores esteja presente, é aconselhável recriar a imagem dos dispositivos físicos ou reimplantar os dispositivos virtuais, alterar as senhas de usuário e administrador e redefinir os tokens de senha de uso único baseados em tempo.
Adam Babis, da equipe de resposta a incidentes de segurança de produtos da SonicWall (PSIRT), foi creditado por descobrir e relatar as falhas. A SonicWall também reconheceu as contribuições de Sean Koessel e Steven Adair da Volexity para ajudar no avanço da investigação interna e identificar um IoC adicional.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicionar as duas falhas ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 17 de julho de 2026.
As vulnerabilidades estão listadas abaixo -
CVE-2026-15409 (pontuação CVSS: 10,0) – Uma vulnerabilidade de falsificação de solicitação no lado do servidor (SSRF) que um invasor remoto não autenticado pode explorar para potencialmente fazer com que o dispositivo faça solicitações para um local não intencional.
CVE-2026-15410 (pontuação CVSS: 7,2) – Uma vulnerabilidade de injeção de código pós-autenticação enraizada no Appliance Management Console (AMC) que um invasor autenticado remotamente pode explorar para executar comandos arbitrários do sistema operacional como administrador sob certas condições.
A SonicWall disse que “investigou vários casos que indicam a exploração ativa das vulnerabilidades”, pedindo aos clientes que apliquem as correções o mais rápido possível. Os patches estão disponíveis nas seguintes versões -
12.4.3-03453 (hotfix de plataforma) e versões superiores
12.5.0-02835 (hotfix de plataforma) e versões superiores
Os usuários também são incentivados a realizar uma análise forense completa do sistema para determinar a presença de quaisquer indicadores de comprometimento (IoCs) associados à exploração -
Se em extraweb_access.log forem mencionadas solicitações para /__api__/login ou /__api__/logout com status http 200
Se em extraweb_access.log forem mencionadas solicitações para /wsproxy com parâmetros de host suspeitos com status 101 http
Se em ctrl-service.log forem mencionadas reversões de hotfix com nomes de passagem de caminho
Se /var/lib/unit/conf.json contém rotas para /__api__/login ou /__api__/logout (esses URIs não existem na configuração legítima)
Caso um desses indicadores esteja presente, é aconselhável recriar a imagem dos dispositivos físicos ou reimplantar os dispositivos virtuais, alterar as senhas de usuário e administrador e redefinir os tokens de senha de uso único baseados em tempo.
Adam Babis, da equipe de resposta a incidentes de segurança de produtos da SonicWall (PSIRT), foi creditado por descobrir e relatar as falhas. A SonicWall também reconheceu as contribuições de Sean Koessel e Steven Adair da Volexity para ajudar no avanço da investigação interna e identificar um IoC adicional.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicionar as duas falhas ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 17 de julho de 2026.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #dois #sonicwall #sma #1000 #zerodays #explorados, #um #deles #poderia #ativar #comandos #de #administrador
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário