SonicWall : Brèche de sécurité exploitée par les cybercriminels
La société de cybersécurité SonicWall vient de révéler qu'une vulnérabilité zero-day jusqu'alors inconnue dans l'un de ses produits phares est activement exploitée par des cybercriminels. Cette faille de sécurité critique permet aux attaquants de s'introduire dans les réseaux d'entreprise de certains clients de SonicWall.
Une porte d'entrée dans les réseaux d'entreprise
Le produit concerné est l'appliance d'accès à distance SMA 1000, utilisée par de nombreuses entreprises pour permettre à leurs employés de se connecter de manière sécurisée au réseau de l'entreprise, comme s'ils étaient physiquement au bureau. Malheureusement, la vulnérabilité identifiée sous le code CVE-2025-23006 rend ce dispositif de sécurité totalement inopérant.
En effet, cette faille permet à n'importe qui sur Internet d'installer des logiciels malveillants sur les appareils SMA 1000 vulnérables, sans même avoir besoin d'identifiants de connexion. C'est donc une véritable porte d'entrée dans les réseaux d'entreprise qui est offerte aux pirates.
Découverte par Microsoft
C'est Microsoft qui a découvert cette vulnérabilité zero-day la semaine dernière et qui l'a immédiatement signalée à SonicWall. Zero-day signifie que la faille était déjà exploitée avant même que SonicWall n'en ait connaissance et n'ait eu le temps de développer un correctif.
Cette vulnérabilité est confirmée comme étant activement exploitée.
– SonicWall
Dans un post de support publié dans la foulée, SonicWall a en effet confirmé que cette faille zero-day est "activement exploitée", ce qui signifie que certains de ses clients ont vu leur réseau piraté via cette vulnérabilité. Ni SonicWall ni Microsoft n'ont cependant précisé combien d'entreprises avaient été victimes de ces attaques.
Correctif disponible mais systèmes exposés
SonicWall a rapidement publié un patch de sécurité pour corriger cette vulnérabilité. Cependant, selon des recherches sur Shodan partagées par Bleeping Computer, plusieurs milliers d'appliances SMA 1000 resteraient exposées sur Internet. Tant que leurs propriétaires n'auront pas appliqué la mise à jour de sécurité, ces systèmes demeurent à la merci des cybercriminels.
Inquiétante tendance
Ce n'est malheureusement pas un cas isolé. On constate une tendance inquiétante des pirates à cibler spécifiquement les produits de cybersécurité d'entreprise tels que les firewalls, les outils d'accès à distance ou les VPNs. Situés en périphérie des réseaux d'entreprise, ces équipements sont censés les protéger contre les intrusions. Mais toute vulnérabilité dans ces produits peut paradoxalement ouvrir une brèche béante dans les défenses.
Ces dernières années, de grands éditeurs de solutions de sécurité comme Barracuda, Check Point, Cisco, Citrix, Fortinet, Ivanti ou Palo Alto Networks ont ainsi révélé des attaques zero-day ciblant leurs produits et conduisant au piratage des réseaux de certains de leurs clients.
- Selon l'agence américaine CISA, les vulnérabilités les plus exploitées en 2023 concernaient des produits Citrix, Cisco et Fortinet.
Face à cette menace, la vigilance est plus que jamais de mise. Les entreprises doivent redoubler de précautions dans le choix, le déploiement et surtout la maintenance de leurs solutions de sécurité. Appliquer immédiatement les patchs de sécurité est crucial. Car une faille dans le mauvais produit peut faire s'écrouler tout un château de cartes...