A SonicWall emitiu um aviso de segurança crítico abordando quatro vulnerabilidades que afetam seus appliances da série Secure Mobile Access (SMA) 1000. Essas falhas de segurança podem permitir que atacantes remotos escalonem privilégios, contornem a autenticação multifator (MFA) e enumerem credenciais de usuários. A vulnerabilidade mais grave possui uma pontuação CVSS v3 de 7.2, tornando o patch imediato uma prioridade alta para administradores de rede corporativa.
Impacto nos gateways de acesso remoto
Como os appliances SMA servem como gateways de acesso seguro para trabalhadores remotos, comprometer esses dispositivos pode conceder aos atacantes acesso significativo às redes corporativas internas. A SonicWall relata que não há evidências atuais de que essas vulnerabilidades estejam sendo exploradas na natureza, mas a ausência de workarounds ou mitigações temporárias significa que os administradores devem aplicar os hotfixes de plataforma fornecidos para proteger suas redes.
Deixar esses appliances sem patch expõe as organizações a riscos graves, particularmente em relação às vulnerabilidades de bypass de TOTP que neutralizam as defesas-chave de autenticação multifator. Os usuários podem baixar os hotfixes de plataforma mais recentes diretamente no portal MySonicWall.
Análise técnica das vulnerabilidades
O advisory detalha quatro Common Vulnerabilities and Exposures (CVEs) distintas impactando a série SMA1000, descobertas pelos pesquisadores de segurança Anthony Cihan, Danti Gionatan e Philip Boldt. O CVE-2026-4112 (CVSS 7.2) é uma falha de neutralização inadequada que permite que um atacante remoto autenticado com acesso de somente leitura execute ataques de injeção de SQL, escalonando seus privilégios para controle total de administrador primário.
O CVE-2026-4113 (CVSS 5.3) é uma vulnerabilidade de discrepância de resposta observável que permite que um atacante remoto não autenticado enumere com sucesso as credenciais de usuário SSL VPN. O CVE-2026-4114 (CVSS 6.6) envolve o tratamento inadequado de codificação Unicode, permitindo que um administrador SSL VPN autenticado remoto contorne completamente a autenticação de senha de uso único baseado em tempo (TOTP) da AMC.
O CVE-2026-4116 (CVSS 6.0) é uma questão relacionada de tratamento Unicode que permite que um usuário SSL VPN autenticado remoto contorne os mecanismos de autenticação TOTP do Workplace ou Connect Tunnel. Essas falhas de TOTP são particularmente preocupantes, pois anulam uma camada crítica de segurança projetada para proteger o acesso remoto.
Requisitos de versão e correção
Os appliances SMA1000 executando a versão 12.4.3-03245 ou anterior devem ser atualizados para a versão corrigida 12.4.3-03387 ou superior. Da mesma forma, os appliances SMA1000 executando a versão 12.5.0-02283 ou anterior devem ser atualizados para a versão corrigida 12.5.0-02624 ou superior. A SonicWall esclareceu que essas falhas específicas não impactam os recursos SSL-VPN executados em firewalls SonicWall padrão.
Recomendações de mitigação imediata
Devido à natureza crítica das vulnerabilidades de bypass de MFA, as equipes de segurança devem priorizar a aplicação dos patches nas próximas 24 horas. Recomenda-se a implementação de monitoramento de logs de autenticação para detectar tentativas de acesso anômalas ou falhas de MFA. Além disso, a revisão das políticas de acesso de usuários com privilégios de administrador deve ser realizada para garantir que não haja contas comprometidas ou excessivamente privilegiadas.
Implicações para a conformidade e segurança de rede
Este incidente reforça a necessidade de manter dispositivos de perímetro de rede atualizados, pois eles são a primeira linha de defesa contra acessos não autorizados. A falha de TOTP pode violar requisitos de conformidade que exigem autenticação multifator para acesso remoto. Organizações devem revisar seus controles de segurança para garantir que a dependência de MFA não seja comprometida por falhas de implementação no lado do servidor.
O que os CISOs devem fazer agora
1. Aplicar os hotfixes de plataforma fornecidos pela SonicWall imediatamente. 2. Verificar a versão atual dos appliances SMA 1000 em toda a infraestrutura. 3. Monitorar logs de autenticação para detectar tentativas de bypass de TOTP. 4. Revisar permissões de usuários com acesso administrativo aos appliances. 5. Considerar a segmentação de rede para isolar appliances SMA de redes críticas.