SonicWall advirtió el lunes sobre intentos de explotación activa contra una vulnerabilidad de día cero en sus dispositivos de la serie 100 de Secure Mobile Access (SMA).
La falla, que afecta a los dispositivos SMA 100 10.x tanto físicos como virtuales (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v), salió a la luz después de que NCC Group el domingo alertado había detectado el «uso indiscriminado de un exploit en la naturaleza».
Los detalles del exploit no se han revelado para evitar que el día cero se siga usando indebidamente, pero se espera que un parche esté disponible al final del día 2 de febrero de 2021.
«Algunos miles de dispositivos se ven afectados», dijo SonicWall en un comunicado, y agregó: «El firmware SMA 100 anterior a 10.x no se ve afectado por esta vulnerabilidad de día cero».
El 22 de enero, The Hacker News reveló en exclusiva que SonicWall había sido violado como consecuencia de un ataque coordinado a sus sistemas internos al explotar «probables vulnerabilidades de día cero» en sus dispositivos de acceso remoto de la serie SMA 100.
Luego, la semana pasada, el 29 de enero, la empresa con sede en San José emitió una actualización en la que indicaba que hasta ahora solo había observado el uso de credenciales previamente robadas para iniciar sesión en los dispositivos de la serie SMA 100.
Si bien SonicWall no ha compartido muchos detalles sobre la intrusión citando una investigación en curso, el último desarrollo apunta a evidencia de que un día cero crítico en el código 10.x de la serie SMA 100 puede haber sido explotado para llevar a cabo el ataque.
SonicWall está rastreando internamente la vulnerabilidad como SNWLID-2021-0001.
La compañía dijo que los firewalls SonicWall y los dispositivos de la serie SMA 1000, así como todos los clientes VPN relevantes, no se ven afectados y que su uso sigue siendo seguro.
Mientras tanto, la empresa recomienda a los clientes que habiliten la autenticación multifactor (MFA) y restablezcan las contraseñas de usuario para las cuentas que utilizan la serie SMA 100 con firmware 10.X.
«Si la serie SMA 100 (10.x) está detrás de un firewall, bloquee todos los accesos al SMA 100 en el firewall», dijo la compañía. Los usuarios también tienen la opción de apagar los dispositivos vulnerables de la serie SMA 100 hasta que haya un parche disponible o cargar la versión de firmware 9.x después de reiniciar la configuración predeterminada de fábrica.
Actualizar – Parches lanzados
SonicWall ha lanzado formalmente un parche para abordar una vulnerabilidad de día cero en el código 10.x de la serie SMA 100.
«Todos los clientes de SonicWall con dispositivos activos de la serie SMA 100 que ejecutan el código 10.x deben aplicar inmediatamente el parche en los dispositivos físicos y virtuales», dijo la compañía en un comunicado. «El parche también contiene código adicional para fortalecer el dispositivo».
Si bien la compañía no ha compartido más detalles sobre la vulnerabilidad, Rich Warren de NCC Group insinuado que podría tener algo que ver con un bypass de autenticación.
