Consorzio Metis

CSIRT Toscana

CSIRT Toscana

SonicWall: rilevato sfruttamento della CVE-2025-40602 in catene d’attacco (AL01/251218/CSIRT-ITA)

Data:
18 Dicembre 2025

Impatto Sistemico

Critico (75.12)

Sintesi

È stato recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-40602 che interessa i dispositivi SonicWall della serie SMA 1000. Tale vulnerabilità è stata sfruttata, in catene di attacco, in combinazione con la CVE-2025-23006 – già trattata nell’ambito dell’ AL03/250123/CSIRT-ITA – al fine di eseguire codice remoto non autenticato con privilegi massimi sul sistema target.

Tipologia

  • Privilege Escalation

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-40602 – di tipo “Local Privilege Escalation” e con score CVSS 3.x pari a 6.6 – che interessa l’Appliance Management Console (AMC) dei dispositivi SonicWall SMA 1000. Lo sfruttamento di tale vulnerabilità è stato osservato, in catene di attacco, in combinazione con la CVE-2025-23006 , già trattata nell’ambito dell’ AL03/250123/CSIRT-ITA .

In dettaglio, la vulnerabilità CVE-2025-40602 è dovuta a controlli di autorizzazione insufficienti: alcune funzioni dell’AMC non verificano correttamente i privilegi dell’utente. Ciò consentirebbe ad un attaccante, già autenticato, di eseguire operazioni riservate a utenti con privilegi elevati.

Tale vulnerabilità, qualora sfruttata in combinazione con la CVE-2025-23006 – vulnerabilità di tipo “Pre-Authentication Remote Command Execution” che permette ad un utente malevolo non autenticato di ottenere accesso iniziale all’AMC – consentirebbe l’esecuzione di codice remoto non autenticato con privilegi massimi sul sistema target.

Prodotti e/o versioni affette

Sonicwall SMA 1000:

  • versione 12.4.3-03093 (platform-hotfix) e precedenti
  • versione 12.5.0-02002 (platform-hotfix) e precedenti

N.B. Il vendor afferma che la vulnerabilità non interessa la funzionalità SSL-VPN integrata nei firewall SonicWall.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Riferimenti

CVE

CVE-ID
CVE-2025-40602

Change log

Versione Note Data
1.0 Pubblicato il 18-12-2025 18/12/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

18 Dicembre 2025, 10:40