SEK - Security Ecosystem Knowledge

NDV | EXTRAORDINÁRIA

Notificação de Vulnerabilidade Extraordinária
25 JULHO | 2025

NDV | EXTRAORDINARY

Extraordinary Vulnerability Notification
JULY 25 | 2025

NDV | EXTRAORDINARIA

Notificación de Vulnerabilidad Extraordinaria
25 JULIO | 2025

Contexto

Esta é uma Notificação de Vulnerabilidade Extraordinária (NDV) emitida em caráter de urgência pelo time de Inteligência de Ameaças Cibernéticas da SEK em 25 de julho de 2025.

A SonicWall divulgou uma vulnerabilidade crítica no Secure Mobile Access (SMA) 100 Series, rastreada como CVE-2025-40599 (CVSS 9.1), que permite execução remota de código através de upload arbitrário de arquivos. Esta falha afeta dispositivos SMA 210, 410 e 500v com interface de gerenciamento web.

Esta vulnerabilidade representa um risco extremamente alto para organizações que utilizam appliances SMA 100, especialmente considerando que estes dispositivos já estão sendo alvo de ataques do grupo UNC6148 com o malware OVERSTEP. Embora a SonicWall não tenha evidências de exploração ativa da CVE-2025-40599, a presença de campanhas em andamento contra estes dispositivos torna a situação crítica.

⚠️ AÇÃO IMEDIATA REQUERIDA: SonicWall lançou patch oficial na versão 10.2.2.1-90sv. Organizações devem aplicar a correção imediatamente e verificar seus dispositivos quanto a indicadores de comprometimento relacionados ao malware OVERSTEP.

SonicWall SMA 100 Series

CVE-2025-40599
Authenticated Arbitrary File Upload
CRÍTICA – CVSS 9.1

Descrição

A CVE-2025-40599 é uma vulnerabilidade crítica de upload arbitrário de arquivos autenticado na interface de gerenciamento web dos dispositivos SMA 100 Series. A falha permite que atacantes remotos com privilégios administrativos façam upload de arquivos arbitrários para o sistema, potencialmente levando à execução remota de código.

Impacto Crítico: Atacantes autenticados podem explorar esta vulnerabilidade para fazer upload de arquivos maliciosos, resultando em execução de código arbitrário e comprometimento completo do dispositivo SMA. Embora privilégios administrativos sejam necessários, atacantes podem obtê-los através de credenciais previamente comprometidas ou exploração de outras vulnerabilidades conhecidas.

Sistemas afetados

CVE Produto Versões Afetadas Status do Patch
CVE-2025-40599 SonicWall SMA 210
SonicWall SMA 410
SonicWall SMA 500v		 Firmware 10.2.1.15-81sv e anteriores Corrigido na versão 10.2.2.1-90sv
⚠️ Importante: Esta vulnerabilidade NÃO afeta produtos SonicWall SSL VPN SMA1000 series ou SSL-VPN rodando em firewalls SonicWall.

Contexto de ameaças - Campanha OVERSTEP

Embora não há evidências de exploração ativa da CVE-2025-40599, existe uma preocupação significativa devido a uma campanha maliciosa em andamento. O Google Threat Intelligence Group (GTIG) divulgou recentemente que o grupo de ameaças UNC6148 está implantando um malware sofisticado chamado OVERSTEP em dispositivos SMA 100.

Características do OVERSTEP:
  • Backdoor e rootkit de modo usuário escrito em C
  • Especificamente projetado para dispositivos SMA 100 Series
  • Obtém persistência através do arquivo /etc/ld.so.preload
  • Modifica o Initial RAM Disk (INITRD)
  • Permite comunicação encoberta através de logs do servidor web
  • Mantém acesso mesmo após aplicação de patches

Indicadores de comprometimento (IOCs)

Organizações devem verificar seus dispositivos SMA 100 quanto aos seguintes indicadores relacionados à campanha OVERSTEP:

  • Modificações no arquivo /etc/ld.so.preload
  • Alterações no Initial RAM Disk (INITRD)
  • Sessões VPN não autorizadas ou suspeitas
  • Comandos de shell reverso em dispositivos que não suportam nativamente
  • Exportação/importação inesperada de configurações do dispositivo
  • Entradas de log removidas seletivamente

Solução

✅ Patch Oficial Disponível: SonicWall lançou correção oficial na versão 10.2.2.1-90sv para dispositivos SMA 100 Series. Atualização imediata é fortemente recomendada.

Dispositivos físicos SMA 210/410:

  • Atualizar firmware para versão 10.2.2.1-90sv ou superior
  • Verificar logs de aplicação e histórico de conexões para atividades suspeitas

Dispositivos virtuais SMA 500v:

  1. Fazer backup do arquivo OVA para análise forense se necessário
  2. Exportar configurações atuais
  3. Remover VM existente e todos os discos/snapshots associados
  4. Baixar e implantar nova imagem limpa do dispositivo
  5. Restaurar configurações (não reutilizar configurações antigas)

Fontes primárias e secundárias

Context

This is an Extraordinary Vulnerability Notification (NDV) issued as an urgent alert by SEK's Cyber Threat Intelligence team on July 25, 2025.

SonicWall has disclosed a critical vulnerability in Secure Mobile Access (SMA) 100 Series, tracked as CVE-2025-40599 (CVSS 9.1), that allows remote code execution through arbitrary file upload. This flaw affects SMA 210, 410, and 500v devices with web management interface.

This vulnerability represents an extremely high risk for organizations using SMA 100 appliances, especially considering these devices are already being targeted by the UNC6148 threat group with OVERSTEP malware. Although SonicWall has no evidence of active exploitation of CVE-2025-40599, the presence of ongoing campaigns against these devices makes the situation critical.

⚠️ IMMEDIATE ACTION REQUIRED: SonicWall has released an official patch in version 10.2.2.1-90sv. Organizations must apply the fix immediately and check their devices for indicators of compromise related to OVERSTEP malware.

SonicWall SMA 100 Series

CVE-2025-40599
Authenticated Arbitrary File Upload
CRITICAL – CVSS 9.1

Description

CVE-2025-40599 is a critical authenticated arbitrary file upload vulnerability in the web management interface of SMA 100 Series devices. The flaw allows remote attackers with administrative privileges to upload arbitrary files to the system, potentially leading to remote code execution.

Critical Impact: Authenticated attackers can exploit this vulnerability to upload malicious files, resulting in arbitrary code execution and complete compromise of the SMA device. While administrative privileges are required, attackers may obtain them through previously compromised credentials or exploitation of other known vulnerabilities.

Affected systems

CVE Product Affected Versions Patch Status
CVE-2025-40599 SonicWall SMA 210
SonicWall SMA 410
SonicWall SMA 500v		 Firmware 10.2.1.15-81sv and earlier Fixed in version 10.2.2.1-90sv
⚠️ Important: This vulnerability does NOT affect SonicWall SSL VPN SMA1000 series products or SSL-VPN running on SonicWall firewalls.

Threat context - OVERSTEP campaign

While there is no evidence of active exploitation of CVE-2025-40599, there is significant concern due to an ongoing malicious campaign. Google Threat Intelligence Group (GTIG) recently disclosed that the UNC6148 threat group is deploying sophisticated malware called OVERSTEP on SMA 100 devices.

OVERSTEP characteristics:
  • Backdoor and user-mode rootkit written in C
  • Specifically designed for SMA 100 Series devices
  • Achieves persistence through /etc/ld.so.preload file
  • Modifies Initial RAM Disk (INITRD)
  • Enables covert communication through web server logs
  • Maintains access even after patch application

Indicators of compromise (IOCs)

Organizations should check their SMA 100 devices for the following indicators related to the OVERSTEP campaign:

  • Modifications to /etc/ld.so.preload file
  • Changes to Initial RAM Disk (INITRD)
  • Unauthorized or suspicious VPN sessions
  • Reverse shell commands on devices that don't natively support them
  • Unexpected export/import of device configurations
  • Selectively removed log entries

Solution

✅ Official Patch Available: SonicWall has released an official fix in version 10.2.2.1-90sv for SMA 100 Series devices. Immediate update is strongly recommended.

Physical SMA 210/410 devices:

  • Update firmware to version 10.2.2.1-90sv or higher
  • Check application logs and connection history for suspicious activities

Virtual SMA 500v devices:

  1. Backup OVA file for forensic analysis if needed
  2. Export current configurations
  3. Remove existing VM and all associated disks/snapshots
  4. Download and deploy new clean device image
  5. Restore configurations (do not reuse old configurations)

Primary and secondary sources

Contexto

Esta es una Notificación de Vulnerabilidad Extraordinaria (NDV) emitida con carácter de urgencia por el equipo de Inteligencia de Amenazas Cibernéticas de SEK el 25 de julio de 2025.

SonicWall ha divulgado una vulnerabilidad crítica en Secure Mobile Access (SMA) 100 Series, rastreada como CVE-2025-40599 (CVSS 9.1), que permite ejecución remota de código a través de carga arbitraria de archivos. Esta falla afecta dispositivos SMA 210, 410 y 500v con interfaz de gestión web.

Esta vulnerabilidad representa un riesgo extremadamente alto para organizaciones que utilizan appliances SMA 100, especialmente considerando que estos dispositivos ya están siendo objetivo del grupo de amenazas UNC6148 con el malware OVERSTEP. Aunque SonicWall no tiene evidencia de explotación activa de CVE-2025-40599, la presencia de campañas en curso contra estos dispositivos hace que la situación sea crítica.

⚠️ ACCIÓN INMEDIATA REQUERIDA: SonicWall ha lanzado un parche oficial en la versión 10.2.2.1-90sv. Las organizaciones deben aplicar la corrección inmediatamente y verificar sus dispositivos en busca de indicadores de compromiso relacionados con el malware OVERSTEP.

SonicWall SMA 100 Series

CVE-2025-40599
Carga Arbitraria de Archivos Autenticada
CRÍTICA – CVSS 9.1

Descripción

CVE-2025-40599 es una vulnerabilidad crítica de carga arbitraria de archivos autenticada en la interfaz de gestión web de los dispositivos SMA 100 Series. La falla permite que atacantes remotos con privilegios administrativos carguen archivos arbitrarios al sistema, potencialmente llevando a la ejecución remota de código.

Impacto Crítico: Los atacantes autenticados pueden explotar esta vulnerabilidad para cargar archivos maliciosos, resultando en ejecución de código arbitrario y compromiso completo del dispositivo SMA. Aunque se requieren privilegios administrativos, los atacantes pueden obtenerlos a través de credenciales previamente comprometidas o explotación de otras vulnerabilidades conocidas.

Sistemas afectados

CVE Producto Versiones Afectadas Estado del Parche
CVE-2025-40599 SonicWall SMA 210
SonicWall SMA 410
SonicWall SMA 500v		 Firmware 10.2.1.15-81sv y anteriores Corregido en versión 10.2.2.1-90sv
⚠️ Importante: Esta vulnerabilidad NO afecta productos SonicWall SSL VPN SMA1000 series o SSL-VPN ejecutándose en firewalls SonicWall.

Contexto de amenazas - Campaña OVERSTEP

Aunque no hay evidencia de explotación activa de CVE-2025-40599, existe una preocupación significativa debido a una campaña maliciosa en curso. El Google Threat Intelligence Group (GTIG) divulgó recientemente que el grupo de amenazas UNC6148 está desplegando malware sofisticado llamado OVERSTEP en dispositivos SMA 100.

Características de OVERSTEP:
  • Backdoor y rootkit de modo usuario escrito en C
  • Específicamente diseñado para dispositivos SMA 100 Series
  • Logra persistencia a través del archivo /etc/ld.so.preload
  • Modifica el Initial RAM Disk (INITRD)
  • Permite comunicación encubierta a través de logs del servidor web
  • Mantiene acceso incluso después de la aplicación de parches

Indicadores de compromiso (IOCs)

Las organizaciones deben verificar sus dispositivos SMA 100 en busca de los siguientes indicadores relacionados con la campaña OVERSTEP:

  • Modificaciones al archivo /etc/ld.so.preload
  • Cambios en el Initial RAM Disk (INITRD)
  • Sesiones VPN no autorizadas o sospechosas
  • Comandos de shell reverso en dispositivos que no los soportan nativamente
  • Exportación/importación inesperada de configuraciones del dispositivo
  • Entradas de log eliminadas selectivamente

Solución

✅ Parche Oficial Disponible: SonicWall ha lanzado una corrección oficial en la versión 10.2.2.1-90sv para dispositivos SMA 100 Series. La actualización inmediata es altamente recomendada.

Dispositivos físicos SMA 210/410:

  • Actualizar firmware a versión 10.2.2.1-90sv o superior
  • Verificar logs de aplicación e historial de conexiones para actividades sospechosas

Dispositivos virtuales SMA 500v:

  1. Hacer respaldo del archivo OVA para análisis forense si es necesario
  2. Exportar configuraciones actuales
  3. Eliminar VM existente y todos los discos/snapshots asociados
  4. Descargar y desplegar nueva imagen limpia del dispositivo
  5. Restaurar configuraciones (no reutilizar configuraciones antiguas)

Fuentes primarias y secundarias

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos