SonicWall SMA100 SSL-VPN's worden actief aangevallen via een kritiek path traversal-lek, alsmede een command injection-kwetsbaarheid, zo waarschuwt het bedrijf. Afgelopen december verscheen er een beveiligingsupdate voor het path traversal-lek, aangeduid als CVE-2024-38475. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Het biedt verschillende functies, zoals een vpn.

CVE-2024-38475 betreft een path traversal-kwetsbaarheid waardoor een aanvaller URL's kan mappen aan bestandssysteemlocaties die de server mag aanbieden, aldus het beveiligingsbulletin van 3 december. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens SonicWall heeft verder onderzoek uitgewezen dat de kwetsbaarheid ook is te gebruiken om ongeautoriseerde toegang tot bepaalde bestanden te krijgen waardoor het mogelijk is om sessies te kapen.

Deze week werd het beveiligingsbulletin door SonicWall bijgewerkt. Het bedrijf meldt nu actief misbruik van het beveiligingslek en adviseert klanten om hun SMA-apparaten op ongeautoriseerde logins te controleren. Details over het waargenomen misbruik zijn niet door SonicWall gegeven. Daarnaast werd ook een ander beveiligingsbulletin voorzien van een melding over actief misbruik. Het gaat om CVE-2023-44221. Via dit lek kan een aanvaller die al toegang tot het systeem heeft OS-commando's uitvoeren en het systeem zo verder compromitteren. Voor dit beveiligingslek, met een impactscore van 7,2, is sinds 4 december 2023 een update beschikbaar.