# CVE-2025-23006 > [!critical] RCE Zero-Day no SonicWall SMA - Explorado pelo Akira Ransomware - CVSS 9.8 > Vulnerabilidade crítica de execução remota de código sem autenticação no SonicWall Secure Mobile Access 1000 Series, explorada ativamente pelo grupo de ransomware Akira em campanhas globais incluindo organizações no Brasil. ## Visão Geral A [[cve-2025-23006|CVE-2025-23006]] é uma vulnerabilidade crítica (CVSS 9.8) de **execução remota de código** sem autenticação no **SonicWall Secure Mobile Access (SMA) 1000 Series**, explorada como zero-day em janeiro de 2025. O grupo de ransomware [[akira-ransomware|Akira]] utilizou esta vulnerabilidade na campanha [[akira-sonicwall-campaign-2025|Akira SonicWall 2025]] para obter acesso inicial a redes corporativas. O SonicWall SMA é uma solução de acesso remoto utilizada por milhares de organizações para fornecer conectividade segura a trabalhadores remotos. Comprometer este gateway é equivalente a ter uma porta traseira na rede corporativa inteira. O Akira tem sido um dos grupos de ransomware mais ativos em 2024-2025, com múltiplas vítimas no Brasil e LATAM. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Desserialização insegura - RCE sem autenticação | | Componente | SonicWall SMA 1000 Series - Management Console | | Vetor | Rede - sem autenticação | | Impacto | Execução de código com privilégios de root | | Exploração ativa | Confirmada como zero-day em janeiro/2025 | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do gateway SonicWall SMA | | [[t1133-external-remote-services\|T1133]] | Acesso via gateway VPN comprometido | | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Akira pós-comprometimento | | [[t1657-financial-theft\|T1657]] | Extorsão por dados e criptografia | | [[t1070-indicator-removal\|T1070]] | Limpeza de logs do SonicWall | ## Detecção e Defesa **Mitigações:** - Atualizar SonicWall SMA 1000 para versão 12.4.3-02804 ou superior imediatamente - [[m1051-update-software\|M1051]] - Patch urgente com isolamento do aparelho - Resetar todas as senhas de usuários VPN pós-patch - [[m1032-multi-factor-authentication\|M1032]] - MFA obrigatório para todas as contas SMA - Auditar logs de autenticação e sessões remotas para indicadores de comprometimento > [!latam] Relevância para Brasil e LATAM > O SonicWall tem forte presença em médias empresas e PMEs no Brasil, especialmente no setor de serviços profissionais e manufatura - exatamente o perfil de alvo do Akira. O grupo Akira realizou ataques confirmados contra organizações brasileiras em 2024-2025, tornando esta CVE de relevância crítica para defesas locais. Organizações com SMA 1000 Series devem tratar o patch como emergência. ## Referências - [SonicWall Security Advisory SNWLID-2025-0002](https://psirt.sonicwall.com/advisory-detail/SNWLID-2025-0002) - [NVD - CVE-2025-23006](https://nvd.nist.gov/vuln/detail/CVE-2025-23006) - [Mandiant Analysis - SonicWall Zero-Day](https://www.mandiant.com/resources/blog/sonicwall-sma-zero-day)