SonicWall a récemment confirmé l’exploitation active de deux failles de sécurité critiques touchant ses appliances SMA 100, utilisées couramment pour l’accès VPN d’entreprise. Ces vulnérabilités de cybersécurité concernent plusieurs modèles et sont susceptibles de compromettre l’intégrité du système. Cette alerte fait suite à une mise à jour de l’éditeur concernant des attaques en cours, alors que des correctifs sont pourtant déjà disponibles. Retour sur les détails de ces failles de sécurité informatique exploitées dans la nature et sur les mesures à prendre pour protéger ses infrastructures.
Deux failles critiques affectent les SMA 100 de SonicWall
Faille CVE-2023-44221 : injection de commandes système
La première faille, identifiée comme CVE-2023-44221 et notée 7,2 sur l’échelle CVSS, concerne une vulnérabilité d’injection de commande OS au sein de l’interface de gestion SSL-VPN des SMA100. Un attaquant déjà authentifié avec des privilèges administrateur peut exécuter des commandes arbitraires en tant qu’utilisateur « nobody ». Cela peut entraîner un contrôle partiel ou complet de l’équipement ciblé, compromettant directement la sécurité du réseau.
Les modèles concernés incluent : SMA 200, 210, 400, 410 et 500v. Ce bug a été corrigé dans la version 10.2.1.10-62sv lancée le 4 décembre 2023. Les utilisateurs sont donc invités à mettre à jour leur matériel sans délai pour éviter toute compromission.
Faille CVE-2024-38475 : détournement de fichiers via Apache
La seconde vulnérabilité, CVE-2024-38475, encore plus sérieuse avec un score CVSS de 9,8, repose sur une mauvaise gestion des caractères échappés dans le module mod_rewrite du serveur Apache version 2.4.59 et antérieures. Elle permet à un pirate d’accéder à des fichiers sensibles, ce qui rend possible un détournement de session.
Le correctif a été intégré dans la version 10.2.1.14-75sv, disponible depuis le 4 décembre 2024. Tous les administrateurs de systèmes utilisant un SMA100 sont encouragés à vérifier leurs journaux d’accès afin de détecter d’éventuelles connexions suspectes.
Techniques d’exploitation observées et impacts potentiels
Exploitation en cours sur Internet
Dans une alerte publiée le 29 avril 2025, SonicWall a reconnu que les deux failles sont désormais exploitées activement. Aucune précision n’a été donnée sur le mode opératoire exact des pirates ni sur les cibles visées. L’éditeur confirme néanmoins qu’une méthode d’exploitation permet de contourner les restrictions applicatives en accédant à des fichiers critiques, un vecteur propice au vol de session VPN.
Antécédents et mise en garde du secteur
Cette cascade d’incidents rappelle qu’en mars dernier, l’agence américaine CISA avait intégré une faille précédente (CVE-2021-20035) affectant elle aussi les SMA100 dans son catalogue de vulnérabilités exploitées. Ces évènements montrent que les passerelles VPN d’entreprise sont des vecteurs d’attaque prisés, justifiant un durcissement des mesures de sécurité et des correctifs proactifs.
Sensibilisation et apprentissage des attaques en conditions réelles
Renforcer ses connaissances des vecteurs d’injection
Pour mieux comprendre les mécaniques d’exploitation telles que l’injection de commandes ou la manipulation d’URL via Apache, l’achat d’un livre pour hacker peut s’avérer judicieux. Ce type de guide permet de comprendre les comportements des attaquants et les techniques réelles utilisées pour pirater des infrastructures.
Protéger son entreprise avec les bonnes pratiques
En plus de l’apprentissage pratique, il est recommandé de suivre des mesures fondamentales telles que la restriction des accès administrateurs, la rotation régulière des mots de passe, et l’audit périodique des journaux d’accès. Les appareils de type SMA doivent également être placés derrière des pare-feux à détection d’intrusion.
Pour accompagner les entreprises face à ces menaces, CyberCare propose des services de sécurité réseau et des audits de cybersécurité personnalisés, adaptés aux infrastructures utilisant les passerelles VPN et appliances de sécurité.
