Vulnerabilidades críticas en SonicWall

SonicWall "insta encarecidamente" a las organizaciones que utilizan dispositivos de la serie SMA 100 a que los parcheen de inmediato contra múltiples fallas de seguridad calificadas con puntajes CVSS que van de medio a crítico.

Los errores (informados por Jake Baines de Rapid7 y Richard Warren de NCC Group) afectan a los dispositivos SMA 200, 210, 400, 410 y 500v incluso cuando el firewall de aplicaciones web (WAF) está habilitado.

Las fallas de mayor gravedad parcheadas por SonicWall esta semana son CVE-2021-20038 y CVE-2021-20045, dos vulnerabilidades críticas de desbordamiento de búfer basadas en Stack que pueden permitir que atacantes remotos no autenticados se ejecuten como el usuario "nobody" en dispositivos comprometidos.

Otros errores corregidos por la compañía el martes permiten a los atacantes autenticados realizar ejecución remota de código, inyectar comandos arbitrarios o cargar páginas web y archivos diseñados a cualquier directorio del dispositivo después de una explotación exitosa.

Sin embargo, el más peligroso si no se actualiza es CVE-2021-20039. Este problema de seguridad de alta gravedad puede permitir a los atacantes autenticados inyectar comandos arbitrarios como usuario root, lo que lleva a una toma de control remota de los dispositivos sin parches.

Afortunadamente, SonicWall dice que aún no ha encontrado ninguna evidencia de que ninguna de estas vulnerabilidades de seguridad esté siendo explotado en la naturaleza. "SonicWall insta a los clientes afectados a implementar los parches aplicables lo antes posible", dice la compañía en un aviso de seguridad publicado el martes.

Se recomienda a los clientes que utilicen dispositivos de la serie SMA 100 que inicien sesión inmediatamente en sus cuentas de MySonicWall.com para actualizar el firmware a las versiones descritas en este Aviso de SonicWall PSIRT.

Para poner en perspectiva la importancia de corregir estas fallas de seguridad, los dispositivos SonicWall SMA 100 han sido atacados por bandas de ransomware varias veces desde principios de 2021.

Por ejemplo, Mandiant dijo en abril que CVE-2021-20016 SMA 100 Zero-Day se aprovechó para implementar una nueva cepa de ransomware conocida como FiveHands a partir de enero, cuando también se utilizó para atacar los sistemas internos de SonicWall. Antes de que se lanzaran los parches a fines de febrero de 2021, se abusaba del mismo error de forma indiscriminada en la naturaleza.

En julio, SonicWall también advirtió sobre el aumento del riesgo de ataques de ransomware dirigidos a productos de la serie SMA 100 al final de su vida útil sin parches y de acceso remoto seguro. Sin embargo, CrowdStrike, los investigadores de seguridad de Coveware y CISA advirtieron que los dispositivos de SonicWall ya eran el objetivo del ransomware HelloKitty.

Fuente: BC 

Suscríbete a nuestro Boletín