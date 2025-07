De SMA 100-gateway als toegangspoort tot je hele bedrijfsnetwerk, en nu blijkt er een RCE-kwetsbaarheid (CVE-2025-40599) met een score van 9.1 in te zitten. Voorwaarde: aanvallers moeten admin-rechten hebben. Klinkt geruststellend… totdat je leest dat Google vorige week waarschuwde dat aanvallers die al massaal hebben.



Het patroon is pijnlijk duidelijk: oude appliances, end-of-life, credentials en OTP-seeds ooit buitgemaakt en nu gebruikt om persistentie te behouden. Voeg daar een uploadmogelijkheid bij voor willekeurige bestanden, en je hebt een recept voor user-mode rootkits. Met andere woorden: zelfs als je netjes patcht, zit je misschien nog steeds met een volledig gecompromitteerde omgeving.



Het feit dat aanvallers OTP-seeds hergebruiken laat zien dat MFA geen wondermiddel is als je seed-lijst ergens in een criminele database staat. En ja, dit gaat uiteindelijk over dataverlies en waarschijnlijk ransomware.



SonicWall zegt: “Geen misbruik bekend van deze specifieke CVE.” Prima, maar als je threat actor al een rootkit op je gateway zet, dan is wachten op misbruik niet echt een strategie.



De echte vraag: waarom draaien organisaties anno 2025 nog steeds op end-of-life appliances die fungeren als VPN-gateway? Als je security afhankelijk is van apparaten die geen updates meer krijgen, ben je niet compliant, je bent een statistiek in wording.