آسیب پذیری روز صفر RCE در SonicWall

آژانس امنیت سایبری و امنیت زیرساخت (CISA)، بیست و چهارم ژانویه ۲۰۲۵، هشداری را در خصوص یک آسیب ‌پذیری بحرانی صادر کرد. این آسیب پذیری که با شناسه CVE-2025-23006 (امتیاز CVSS:9.8) دنبال می‌شود بر دستگاه‌های SonicWall SMA[1] سری 1000 تأثیر می‌گذارد. شواهد حاکی از آن است که این آسیب ‌پذیری به طور فعال مورد سوء استفاده قرار گرفته است.

SMAها، دستگاه‌هایی هستند که برای ارائه دسترسی امن و مدیریت ‌شده به منابع شبکه طراحی شده‌اند. این دستگاه‌ها به سازمان‌ها کمک می‌کنند که دسترسی از راه دور را با حفظ امنیت شبکه فراهم کنند و کاربران بتوانند به برنامه‌ها، فایل‌ها و منابع داخلی سازمان دسترسی پیدا کنند.

این آسیب ‌پذیری به دلیل عدم دنباله سازی داده‌های غیرقابل اطمینان در کنسول مدیریت اختصاصی (AMC) و کنسول مدیریت مرکزی  (CMC)سری 1000 دستگاه‌های SMA رخ می‌دهد. مهاجم بدون نیاز به احراز هویت می‌تواند با ارسال درخواست‌های خاص به دستگاه آسیب‌ پذیر، دستورات دلخواه سیستم‌عامل (OS command) را اجرا کند.

کنسول AMC به مدیران شبکه امکان مدیریت، پیکربندی، و نظارت بر دستگاه‌های SMA را میدهد و به عنوان یک اینترفیس گرافیکی مبتنی بر وب عمل می‌کند که مدیریت ساده و متمرکز را به کاربران ارائه می‌دهد.

آسیب پذیری CVE-2025-23006 علاوه بر نسخه‌های 12.4.3-02804 و قدیمی‌تر سری 1000 دستگاه‌های SMA بر روی مدل‌های SMA6200، SMA6210، SMA7200، SMA7210،SMA8200v  (ESX، KVM، Hyper-V، AWS، Azure)، EX6000، EX7000  و EX9000 نیز تأثیر می‌گذارد اما فایروال‌هایSonicWall  یا سری SMA 100 را تحت تاثیر قرار نمیدهد.

وضعیت اکسپلویت آسیب پذیری CVE-2025-23006

مرکز اطلاعاتی تهدید مایکروسافت (MSTIC) این موضوع را به تیم واکنش به رخداد امنیتی محصول SonicWall (PSIRT)  گزارش کرده است.

شواهد حاکی از آن است که هکرها قبلاً از این آسیب پذیری سوءاستفاده کرده‌اند و همین موضوع باعث شده است که CISA آن را به لیست کاتالوگ آسیب پذیری‌های مورد اکسپلویت شناخته شده خود اضافه کند. اکسپلویت  CVE-2025-23006  می‌تواند منجر به نفوذ کامل سیستم شود و بر محرمانگی، یکپارچگی و دسترس پذیری سیستم‌های هدفمند تأثیر بگذارد.

این آسیب پذیری به دلیل پیچیدگی پایین حمله و عدم نیاز به دسترسی‌ بالا، به‌ویژه برای سیستم‌هایی که به‌روزرسانی نشده‌اند، خطرناک است. سازمان‌هایی که از نسخه‌های آسیب ‌پذیر استفاده می‌کنند در معرض خطر دسترسی غیرمجاز مهاجمان به داده‌های حساس یا استقرار بدافزار قرار دارند.

پچ آسیب پذیری

شرکت SonicWall به منظور پچ این آسیب ‌پذیری، یک به‌روزرسانی فوری (نسخه 12.4.3-02854 و بالاتر) منتشر کرده است. این شرکت اکیدا توصیه می‌کند که تمامی کاربران دستگاه‌های سری SMA 1000 هر چه سریع‌تر، به‌روزرسانی‌ها را دریافت کنند.

SonicWall به سازمان‌هایی که نمی‌توانند به‌روزرسانی را به‌سرعت اعمال کنند، توصیه کرده است که به‌عنوان یک راه‌حل موقتی، دسترسی به اینترفیس‌های AMC و CMC را به آدرس‌های IP مورد اطمینان محدود نمایند.

علاوه بر این، به مدیران شبکه توصیه می‌شود فعالیت‌های غیرعادی شبکه را نظارت کرده و بهترین روش‌ها را برای تأمین امنیت سیستم‌های خود اعمال کنند. این موارد شامل محدود کردن دسترسی‌های مدیریتی، اجرای تفکیک دقیق شبکه و اطمینان از به‌روزرسانی تمامی دستگاه‌ها با پچ‌های امنیتی است.

سخن پایانی

محصولات SonicWall در گذشته هدف مکرر حملات سایبری قرار گرفته‌اند و در سال‌های اخیر چندین آسیب ‌پذیری در این دستگاه‌ها توسط گروه‌های باج‌افزار و دیگر تهدید کننده‌ها مورد سوءاستفاده قرار گرفته است. آسیب پذیری CVE-2025-23006، اهمیت اقدامات پیشگیرانه امنیتی برای حفاظت از زیرساخت‌های حیاتی را برجسته می‌کند.

گنجاندن CVE-2025-23006 در فهرست آسیب ‌پذیری‌های شناخته ‌شده مورد سوءاستفاده CISA، ضرورت رسیدگی فوری سازمان‌ها به این آسیب پذیری را بدون تأخیر نشان می‌دهد. عدم رسیدگی به این آسیب ‌پذیری می‌تواند منجر به عواقب شدید از جمله افشای داده، اختلالات عملیاتی و زیان‌های مالی شود.

با توجه به حساسیت این آسیب ‌پذیری و گزارش‌های مربوط به اکسپلویت فعال آن توسط هکرها، به کاربران توصیه می‌شود که به‌روزرسانی‌های امنیتی را در اسرع وقت اعمال کنند و اقدامات امنیتی لازم را برای محافظت از سیستم‌های خود به انجام رسانند.

[1] Secure Mobile Access

منابع