CERTFR-2025-ALE-011
Vulnerability from certfr_alerte
[Mise à jour du 7 août 2025]
Le 6 août 2025, SonicWall a remplacé une partie de son communiqué initial pour indiquer que les incidents de sécurité évoqués étaient vraisemblablement corrélés à la vulnérabilité CVE-2024-40766. Celle-ci a fait l'objet d'un bulletin de sécurité, SNWLID-2024-0015 (cf. section Documentation), publié le 8 août 2024.
Selon l'éditeur, nombre de ces incidents de sécurité sont liés à une migration de la génération 6 à 7, mais au cours de laquelle les mots de passe n'ont pas été modifiés, à l'encontre des préconisations de l'avis SNWLID-2024-0015.
[Publication Initiale]
Le 4 août 2025, SonicWall a publié un communiqué (cf. section Documentation) concernant des incidents de sécurité constatés sur les pare-feux de génération 7 lorsque le VPN SSL est activé.
L'éditeur déclare ne pas savoir si ces incidents sont liés à une vulnérabilité déjà connue ou s'il s'agit d'une nouvelle vulnérabilité.
Plusieurs entreprises de sécurité, citées par l'éditeur, ont publié des billets de blogue, dont certains sont disponibles en source ouverte.
Ceux-ci proposent des indicateurs de compromission qui n'ont pas été qualifiés par le CERT-FR.
Contournement provisoire
Dans l'attente de plus de renseignements, voire d'un éventuel correctif, l'éditeur conseille de désactiver le VPN SSL.
Si cela n'est pas possible, celui-ci recommande a minima de : * limiter l'accès à des adresses IP de confiance ; * activer les services de sécurité proposés ; * activer l'authentification à multiples facteurs ; * supprimer les comptes inactifs ; * mettre à jour les mots de passe en accord avec les bonnes pratiques (cf. section Documentation).
Solution
[Mise à jour du 7 août 2025]
L'éditeur recommande d'installer la version 7.3.0 de SonicOS, qui contient des mesures de protection contre des attaques par force brute. De plus, SonicWall conseille de modifier tous les mots de passe des utilisateurs, en complément des mesures déjà préconisées (cf. Contournement provisoire).
| Title | Publication Time | Tags | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Pare-feux SonicWall de g\u00e9n\u00e9ration 7 avec le VPN SSL activ\u00e9",
"product": {
"name": "SonicOS",
"vendor": {
"name": "Sonicwall",
"scada": false
}
}
}
],
"affected_systems_content": "",
"closed_at": "2025-08-18",
"content": "## Contournement provisoire\n\nDans l\u0027attente de plus de renseignements, voire d\u0027un \u00e9ventuel correctif, l\u0027\u00e9diteur conseille de d\u00e9sactiver le VPN SSL.\n\nSi cela n\u0027est pas possible, celui-ci recommande a minima de :\n* limiter l\u0027acc\u00e8s \u00e0 des adresses IP de confiance ;\n* activer les services de s\u00e9curit\u00e9 propos\u00e9s ;\n* activer l\u0027authentification \u00e0 multiples facteurs ; \n* supprimer les comptes inactifs ;\n* mettre \u00e0 jour les mots de passe en accord avec les bonnes pratiques (cf. section Documentation).\n\n## Solution\n\n\u003cspan class=\"important-content\"\u003e[Mise \u00e0 jour du 7 ao\u00fbt 2025]\u003c/span\u003e\n\nL\u0027\u00e9diteur recommande d\u0027installer la version 7.3.0 de SonicOS, qui contient des mesures de protection contre des attaques par force brute. De plus, SonicWall conseille de modifier tous les mots de passe des utilisateurs, en compl\u00e9ment des mesures d\u00e9j\u00e0 pr\u00e9conis\u00e9es (cf. Contournement provisoire).\n",
"cves": [],
"initial_release_date": "2025-08-05T00:00:00",
"last_revision_date": "2025-08-18T00:00:00",
"links": [
{
"title": "Alerte CERT-FR CERTFR-2024-ALE-011 du 10 septembre 2024",
"url": "https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-011/"
},
{
"title": "Recommandations relatives \u00e0 l\u0027authentification multifacteur et aux mots de passe",
"url": "https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe"
},
{
"title": "CERTFR-2025-RFX-002 : Compromission d\u0027un \u00e9quipement de bordure r\u00e9seau - Endiguement",
"url": "https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/"
},
{
"title": "CERTFR-2025-RFX-001 : Compromission d\u0027un \u00e9quipement de bordure r\u00e9seau - Qualification",
"url": "https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/"
}
],
"reference": "CERTFR-2025-ALE-011",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2025-08-05T00:00:00.000000"
},
{
"description": "Mise \u00e0 jour avec les nouveaux \u00e9l\u00e9ments de l\u0027\u00e9diteur.",
"revision_date": "2025-08-07T00:00:00.000000"
},
{
"description": " Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
"revision_date": "2025-08-18T00:00:00.000000"
}
],
"risks": [
{
"description": "Non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur"
}
],
"summary": "\u003cspan class=\"important-content\"\u003e[Mise \u00e0 jour du 7 ao\u00fbt 2025]\u003c/span\u003e\n\nLe 6 ao\u00fbt 2025, SonicWall a remplac\u00e9 une partie de son communiqu\u00e9 initial pour indiquer que les incidents de s\u00e9curit\u00e9 \u00e9voqu\u00e9s \u00e9taient vraisemblablement corr\u00e9l\u00e9s \u00e0 la vuln\u00e9rabilit\u00e9 CVE-2024-40766. Celle-ci a fait l\u0027objet d\u0027un bulletin de s\u00e9curit\u00e9, SNWLID-2024-0015 (cf. section Documentation), publi\u00e9 le 8 ao\u00fbt 2024. \n\nSelon l\u0027\u00e9diteur, nombre de ces incidents de s\u00e9curit\u00e9 sont li\u00e9s \u00e0 une migration de la g\u00e9n\u00e9ration 6 \u00e0 7, mais au cours de laquelle les mots de passe n\u0027ont pas \u00e9t\u00e9 modifi\u00e9s, \u00e0 l\u0027encontre des pr\u00e9conisations de l\u0027avis SNWLID-2024-0015. \n\n**[Publication Initiale]**\n\nLe 4 ao\u00fbt 2025, SonicWall a publi\u00e9 un communiqu\u00e9 (cf. section Documentation) concernant des incidents de s\u00e9curit\u00e9 constat\u00e9s sur les pare-feux de g\u00e9n\u00e9ration 7 lorsque le VPN SSL est activ\u00e9.\n\nL\u0027\u00e9diteur d\u00e9clare ne pas savoir si ces incidents sont li\u00e9s \u00e0 une vuln\u00e9rabilit\u00e9 d\u00e9j\u00e0 connue ou s\u0027il s\u0027agit d\u0027une nouvelle vuln\u00e9rabilit\u00e9.\n\nPlusieurs entreprises de s\u00e9curit\u00e9, cit\u00e9es par l\u0027\u00e9diteur, ont publi\u00e9 des billets de blogue, dont certains sont disponibles en source ouverte.\u003cbr /\u003e\nCeux-ci proposent des indicateurs de compromission qui n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.",
"title": "Incidents de s\u00e9curit\u00e9 dans les pare-feux SonicWall",
"vendor_advisories": [
{
"published_at": "2024-08-22",
"title": "Bulletin de s\u00e9curit\u00e9 Sonicwall",
"url": "https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015"
},
{
"published_at": "2025-08-04",
"title": "Communiqu\u00e9 SonicWall",
"url": "https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.