SonicWall, un popular proveedor de seguridad de Internet de firewall y productos VPN, reveló el viernes por la noche que fue víctima de un ataque coordinado en sus sistemas internos.

La compañía con sede en San José dijo que los ataques aprovecharon las vulnerabilidades de día cero en los productos de acceso remoto seguro de SonicWall, como NetExtender VPN client versión 10.x y Secure Mobile Access (SMA), que se utilizan para proporcionar a los usuarios acceso remoto a los recursos internos.

«Recientemente, SonicWall identificó un ataque coordinado en sus sistemas internos por parte de actores de amenazas altamente sofisticados que explotan probables vulnerabilidades de día cero en ciertos productos de acceso remoto seguro de SonicWall», dijo la compañía en exclusiva a The Hacker News.

El desarrollo se produce después de que The Hacker News recibió informes de que los sistemas internos de SonicWall fallaron a principios de esta semana el martes y que los atacantes accedieron al código fuente alojado en el repositorio GitLab de la compañía.

SonicWall no confirmó los informes más allá de la declaración y agregó que proporcionaría actualizaciones adicionales a medida que haya más información disponible.

La lista completa de productos afectados incluye:

• NetExtender VPN client versión 10.x (lanzado en 2020) utilizado para conectarse a dispositivos de la serie SMA 100 y firewalls SonicWall
• Acceso móvil seguro (SMA) versión 10.x que se ejecuta en dispositivos físicos SMA 200, SMA 210, SMA 400, SMA 410 y el dispositivo virtual SMA 500v

La compañía dijo que su serie SMA 1000 no es susceptible a los días cero y que utiliza clientes diferentes a NetExtender.

También publicó un aviso que insta a las organizaciones a habilitar la autenticación multifactor, deshabilitar el acceso de NetExtender al firewall, restringir el acceso a usuarios y administradores para direcciones IP públicas y configurar el acceso a la lista blanca en el SMA directamente para mitigar las fallas.

Con una serie de proveedores de seguridad cibernética como FireEye, Microsoft, Crowdstrike y Malwarebytes convirtiéndose en objetivos de ataques cibernéticos a raíz del ataque a la cadena de suministro de SolarWinds, la última violación de SonicWall plantea preocupaciones importantes.

“Como primera línea de defensa cibernética, hemos visto un aumento dramático en los ataques cibernéticos contra gobiernos y empresas, específicamente contra empresas que brindan infraestructura crítica y controles de seguridad a esas organizaciones”, dijo SonicWall.

ACTUALIZACIÓN (24 de enero de 2021)

SonicWall, en un aviso actualizado el sábado, dijo que sus clientes NetExtender VPN ya no se ven afectados por las posibles vulnerabilidades de día cero que, según dijo, se utilizaron para llevar a cabo un «ataque coordinado» en sus sistemas internos.

Sin embargo, la compañía dijo que continúa investigando la serie SMA 100 en busca de probables días cero.

«Aunque anteriormente comunicamos que NetExtender 10.x podría tener un día cero, eso ahora se ha descartado», declaró la compañía. «Se puede usar con todos los productos de SonicWall. No se requiere ninguna acción por parte de los clientes o socios».

Dicho esto, los detalles exactos sobre la naturaleza del ataque y lo que llevó a SonicWall a investigar sus propios productos como un posible vector de ataque aún no están claros.

Nos comunicamos con la compañía para obtener detalles y actualizaremos la historia si recibimos una respuesta.