Sonicwall 要求運行特定安全行動存取 (SMA) 100 系列設備的客戶盡快修補新發現的漏洞 (CVE-2025-40599)。雖然目前沒有證據表明該漏洞正在被廣泛利用，」Sonicwall 建議使用 SMA 210、410 或 500v 設備的組織檢查它們是否在最近披露的持續活動中受到攻擊，該活動將 OVERSTEP 後門傳送到報廢 SMA 設備。

谷歌事件響應人員和威脅情報分析師發現並記錄的攻擊活動已持續至少六個月，目前無法發現攻擊者如何獲得目標設備的管理存取權 - 無論是利用已知或未知的漏洞，還是透過從犯罪論壇獲取憑證 - 但推測他們一直在使用零日漏洞來部署專門設計的後門和反向 shell。

 

關於 CVE-2025-40599

CVE-2025-40599 是 SMA 100 系列 Web 管理介面中的一個缺陷，可能允許具有管理權限的遠端攻擊者將任意檔案上傳到系統，從而可能導致遠端程式碼執行。此漏洞影響運行韌體版本 10.2.1.15-81sv 及更早版本的 SMA 210、410 和 500v 設備，尚無可用的解決方法，因此使用者必須升級到 v10.2.2.1-90sv 或更高版本才能修補此安全漏洞。在執行此操作之前，他們應該檢查裝置日誌和連接歷史記錄，以查找Google 威脅情報小組共享的異常和妥協指標，並檢查是否存在未經授權的存取。

設備升級後，也應：

• 停用外部介面 (X1) 上的遠端管理存取以減少攻擊面
• 重設所有密碼並重新初始化裝置上使用者和管理員的 OTP（一次性密碼）綁定
• 對所有使用者強制實施多重身份驗證 (MFA)
• 在裝置上啟用 Web 應用程式防火牆

安全公告中已概述了詳細步驟，Sonicwall 表示，CVE-2025-40599 不會影響 SonicWall SSL VPN SMA1000 系列產品或在 SonicWall 防火牆上運行的 SSL-VPN。