Expertos en ciberseguridad han advertido que **hackers están aprovechando una vulnerabilidad de día cero en un producto de SonicWall para infiltrarse en redes corporativas y desplegar malware.
En un comunicado de seguridad, SonicWall instó a sus usuarios a aplicar el parche o implementar una solución alternativa lo antes posible para evitar ataques.
Una vulnerabilidad crítica
Este fallo de seguridad ha sido catalogado como CVE-2025-23006 y recibió una puntuación de severidad de 9.6/10 en la National Vulnerability Database (NVD), lo que la clasifica como una amenaza crítica.
Fue descubierto por Microsoft en las herramientas SMA 1000 Appliance Management Console (AMC) y Central Management Console (CMC), utilizadas para gestionar y controlar dispositivos de seguridad en redes SonicWall, especialmente en entornos donde el acceso remoto seguro y la administración centralizada son fundamentales.
Miles de dispositivos vulnerables
El error fue descrito como una “deserialización previa a la autenticación de datos no confiables”, lo que significa que, en ciertas condiciones, un atacante remoto no autenticado podría ejecutar comandos arbitrarios en el sistema operativo.
El comunicado de SonicWall advierte:
“El equipo de seguridad de SonicWall ha sido notificado sobre una posible explotación activa de la vulnerabilidad por parte de actores maliciosos. Instamos a los usuarios del producto SMA 1000 a actualizar a la versión con la corrección de seguridad para mitigar el riesgo.”
Ni SonicWall ni Microsoft han revelado quiénes son los atacantes, quiénes han sido las víctimas ni cuántos casos se han registrado hasta el momento.
Sin embargo, según datos del motor de búsqueda Shodan, actualmente hay miles de dispositivos SMA 1000 expuestos en internet, lo que sugiere que el alcance de estos ataques podría ser significativo.
En los últimos tiempos, los ciberdelincuentes han centrado su atención en dispositivos perimetrales como firewalls y gateways de acceso remoto.
Esto se debe a que en muchas ocasiones, no son monitoreados con la misma rigurosidad que otros componentes de la red, lo que les permite infiltrarse, moverse lateralmente dentro de la infraestructura de la empresa y mantenerse ocultos por más tiempo.
¿Qué dispositivos están afectados?
SonicWall aclaró que los productos Firewall y la serie SMA 100 no están afectados por esta vulnerabilidad.
En su comunicado, la empresa también recomendó a los usuarios restringir el acceso a fuentes de confianza para las consolas de administración AMC y CMC, lo que puede reducir el riesgo de explotación de la vulnerabilidad.
Dado el alto nivel de criticidad de este fallo, es fundamental que las empresas actualicen sus sistemas lo antes posible para evitar ser víctimas de ataques.