SonicWall dringt aan op patch na onthulling van drie grote VPN-kwetsbaarheden

Cybersecuritybedrijf watchTowr heeft meerdere ernstige kwetsbaarheden ontdekt in de SSL-VPN-apparaten uit de SMA100-serie van SonicWall. Dit onderstreept de aanhoudende beveiligingsproblemen in veelgebruikte netwerkinfrastructuurapparaten.

Het diepgaande onderzoek , dat drie cruciale CVE's omvat, werd gedeeld met Hackread.com. De bevindingen, bevestigd met firmwareversie 10.2.1.15 en eerdere versies, leggen kwetsbaarheden bloot die volgens experts van watchTowr Labs "in amber bewaard gebleven zijn uit een naïever tijdperk van C-programmering". Ondanks verbeteringen in beveiliging blijven bufferoverflows vóór authenticatie aan de oppervlakte komen.

Een van de kwetsbaarheden is CVE-2025-40596 , een stackgebaseerde bufferoverflow met een hoge CVSS-score van 7,3. Deze kwetsbaarheid kan worden geactiveerd voordat een gebruiker überhaupt inlogt en bevindt zich in het httpd-programma, dat inkomende webverzoeken afhandelt. Het maakt ten onrechte gebruik van de sscanf-functie om delen van een webadres te parseren, waardoor er te veel gegevens naar een kleine geheugenruimte worden gekopieerd.

Volgens onderzoekers kan misbruik ervan leiden tot Denial of Service ( DoS ) of mogelijk remote code execution (RCE). Hoewel de software van SonicWall stack-beveiliging heeft, is de aanwezigheid van zo'n fundamenteel lek in 2025 zorgwekkend.

Een ander belangrijk probleem, CVE-2025-40597 , is een heap-gebaseerde bufferoverflow, die ook zonder authenticatie kan worden misbruikt en die is beoordeeld als 'Hoog' met een CVSS-score van 7,5. Deze bug is aangetroffen in de component mod_httprp.so , die HTTP-verzoeken verwerkt.

Het probleem ontstaat doordat een "veilige" versie van de sprintf-functie onjuist werd gebruikt, waardoor een aanvaller voorbij het toegewezen geheugen kon schrijven bij het maken van een kwaadaardige Host: header. Dit kon aangrenzend geheugen beschadigen en mogelijk ook leiden tot een Denial of Service (RCE). WatchTowr merkte echter op dat het lastig was om dit te misbruiken voor volledige RCE vanwege de dynamische aard van de server.

Ten slotte onthult CVE-2025-40598 een Cross-Site Scripting ( XSS )-kwetsbaarheid, met een CVSS-score van gemiddelde ernst van 6,1. Deze klassieke webfout stelt aanvallers in staat om schadelijke code in een webpagina te injecteren, die vervolgens in de browser van een gebruiker wordt uitgevoerd als deze een speciaal vervaardigde link bezoekt.

Erger nog, zelfs de meest basale XSS-payloads werkten omdat de Web Application Firewall (WAF)-functie van het apparaat op de beheerinterfaces leek te zijn uitgeschakeld. Dit betekende dat het geen bescherming bood tegen dit type aanval.

watchTowr benadrukte dat hoewel sommige van deze kwetsbaarheden moeilijk volledig te exploiteren zijn voor RCE, hun aanwezigheid in moderne apparaten problematisch is. De onderzoekers dringen er bij organisaties op aan om onmiddellijk beschikbare patches te implementeren, met name door te upgraden naar firmwareversie 10.2.2.1-90sv of hoger.

SonicWall adviseert om multi-factor authenticatie (MFA) in te schakelen en de WAF-functie actief te maken op SMA100-apparaten als aanvullende beschermingsmaatregelen. SonicWall heeft ook een advies uitgebracht over deze kwetsbaarheden.