Vulnerabilidades críticas en dispositivos SonicWall SMA100
SonicWall ha emitido una advertencia a sus clientes tras detectar la explotación activa de dos vulnerabilidades severas que afectan a sus dispositivos de acceso remoto seguro. Aunque ambas fallas fueron corregidas mediante actualizaciones anteriores, los atacantes continúan dirigiéndose a organizaciones que aún operan con versiones vulnerables del firmware.
Los fallos de seguridad son los siguientes:
- CVE-2023-44221: Se trata de una vulnerabilidad de inyección de comandos clasificada como de alta gravedad, causada por un manejo incorrecto de caracteres especiales en la interfaz SSL-VPN de administración. Esta falla permite que un atacante autenticado con privilegios administrativos inyecte comandos arbitrarios como el usuario “nobody”, comprometiendo el sistema operativo del dispositivo.
- CVE-2024-38475: Esta vulnerabilidad, de gravedad crítica, afecta al servidor Apache HTTP incluido en los dispositivos SMA. El error se encuentra en el módulo mod_rewrite, el cual permite a un atacante remoto no autenticado asignar URLs a rutas del sistema de archivos, abriendo la posibilidad de ejecutar código de forma remota.
Confirmación de actividad maliciosa
El pasado martes, SonicWall actualizó los boletines de seguridad para ambas vulnerabilidades, marcándolas como “potencialmente explotadas en la naturaleza”. Además, investigaciones internas junto con socios estratégicos revelaron un nuevo vector de explotación que permite el secuestro de sesión, utilizando la falla CVE-2024-38475 y accediendo a archivos no autorizados.
Respecto a la CVE-2023-44221, también se ha observado actividad que sugiere que actores maliciosos ya están intentando explotarla activamente. SonicWall ha instado a sus clientes a revisar los registros de sus dispositivos en busca de accesos no autorizados.
Dispositivos afectados y versiones seguras
Los equipos vulnerables incluyen:
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v
La única versión considerada segura es la 10.2.1.14-75sv y posteriores, donde se han corregido las vulnerabilidades mencionadas. Las versiones anteriores siguen siendo vulnerables y representan un riesgo elevado de intrusión.
Recomendaciones
- Actualizar de inmediato el firmware: Asegúrese de que todos los dispositivos SMA afectados estén ejecutando la versión 10.2.1.14-75sv o superior. Cualquier versión anterior debe considerarse en riesgo crítico.
- Revisar registros y actividad sospechosa: Audite los registros de acceso de los dispositivos SMA para detectar posibles inicios de sesión no autorizados o comportamientos anómalos, especialmente desde IPs externas no reconocidas.
- Aplicar reglas de monitoreo proactivo: Implemente reglas en su sistema de detección de intrusiones (IDS/IPS) que permitan identificar patrones asociados a la explotación de las vulnerabilidades mencionadas.
- Restringir el acceso a la interfaz de administración: Limite el acceso a la consola de administración de los dispositivos SMA únicamente a direcciones IP internas o de confianza.
- Segmentación de red y control de privilegios: Aísle los dispositivos de acceso remoto en segmentos controlados y minimice los privilegios otorgados a usuarios administrativos, aplicando el principio de mínimo privilegio.
