SonicWall schließt drei gefährliche Schwachstellen in SMA-100-Geräten : Zero-Day-Verdacht bei CVE-2025-32819 – Update auf neue Firmware dringend empfohlen
Drei Schwachstellen in SonicWalls Secure Mobile Access (SMA) 100-Serie könnten es Angreifern ermöglichen, Schritt für Schritt die vollständige Kontrolle eines Systems zu übernehmen – inklusive Code-Ausführung mit Root-Rechten. Die Lücken betreffen mehrere Gerätemodelle und wurden jetzt mit einem Update geschlossen. Eine der Schwachstellen könnte bereits aktiv ausgenutzt worden sein.
SonicWall hat Sicherheitsupdates für seine SMA 100-Serie veröffentlicht, um drei Schwachstellen zu schließen, die im schlimmsten Fall zur Remote-Code-Ausführung mit Root-Rechten führen können. Die Sicherheitslücken betreffen unter anderem die Modelle SMA 200, 210, 400, 410 und 500v.
Im Detail handelt es sich um folgende Schwachstellen:
- CVE-2025-32819 (CVSS 8,8): Ein authentifizierter Angreifer mit SSL-VPN-Nutzerrechten kann Schutzmechanismen zur Verhinderung von Pfadmanipulationen umgehen und beliebige Dateien löschen. Dadurch lässt sich das Gerät unter Umständen auf Werkseinstellungen zurücksetzen. Diese Lücke wird als mögliche Umgehung eines früheren Patches von 2021 eingestuft und könnte bereits als Zero-Day ausgenutzt worden sein.
- CVE-2025-32820 (CVSS 8,3): Ein ebenfalls authentifizierter Nutzer kann durch gezielte Pfadmanipulation bestimmte Verzeichnisse auf dem Gerät beschreibbar machen – ein potenzieller Einstiegspunkt für weiteren Schadcode.
- CVE-2025-32821 (CVSS 6,7): Angreifer mit Administratorrechten im SSL-VPN-Bereich können über manipulierte Befehlsparameter Dateien auf das System hochladen – ein kritischer Schritt auf dem Weg zur vollständigen Kompromittierung.
Laut einem Bericht von Rapid7 lassen sich die drei Schwachstellen kombinieren, um ein besonders gefährliches Angriffsszenario umzusetzen: Ein Angreifer mit gültigem SSL-VPN-Zugang kann sich über die beschriebenen Schwächen Adminrechte verschaffen, Systemverzeichnisse beschreibbar machen und schließlich ausführbaren Code mit Root-Rechten auf dem Gerät platzieren.
Die Schwachstelle CVE-2025-32819 wird als erneutes Aufleben eines bereits bekannten Problems gewertet: Schon im Dezember 2021 hatte die Sicherheitsfirma NCC Group eine ähnliche Lücke gemeldet, für die es damals einen Patch gab. Offenbar war diese Korrektur unzureichend – die neue Lücke umgeht den damaligen Patch und macht das System erneut verwundbar.
SonicWall hat mit Version 10.2.1.15-81sv einen Patch veröffentlicht, der alle drei Lücken schließt. Nutzer der betroffenen Geräte sollten dringend auf die aktuelle Version aktualisieren, da es erst vor wenigen Wochen zu aktiven Angriffen auf ähnliche Schwachstellen in der SMA-Serie gekommen ist – darunter CVE-2021-20035, CVE-2023-44221 und CVE-2024-38475.
Auch wenn SonicWall bisher keine bestätigten Angriffe auf Basis der neuen Schwachstellen gemeldet hat, deuten forensische Hinweise darauf hin, dass zumindest CVE-2025-32819 möglicherweise bereits ausgenutzt wurde. Für Unternehmen, die SonicWall SMA-Geräte im Einsatz haben, gilt daher: sofort handeln, bevor es jemand anderes tut.