Cabecera-v2-web.jpg

Vulnerabilidades en productos de SonicWall



sonicwall-logo.jpg

27/01/2021

SonicWall, empresa dedicada a la venta de dispositivos de Internet dirigidos principalmente al control de contenido y la seguridad de la red, como por ejemplo, productos de firewall y VPN.

Los equipos de ingeniería de SonicWall han descubierto vulnerabilidades de riesgo alto en sus productos, y además se encuentran investigando las probables vulnerabilidades de día cero con los productos de la serie SMA 100. Los mismos no han brindado detalles acerca de la explotación de la vulnerabilidad, sin embargo recomiendan algunas medidas de mitigación hasta la próxima actualización.

Productos afectados

  • SonicWall SMA 100 series (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v)
  • SonicWall SMA100 version 10.2.0.2-20sv y anteriores.

En su comunicado SonicWall ha indicado que los clientes actuales de la serie SMA 100 pueden seguir utilizando NetExtender de forma segura para el acceso remoto con la serie SMA 100, ya que han determinado que ese caso de uso no es susceptible de explotación. NetExtender 10.xy las versiones anteriores no se ven afectadas por este incidente.

La compañía ha determinado que la vulnerabilidad es de criticidad alta debido a que su explotación no requiere emplear grandes esfuerzos y en caso de ser exitosa podría causar daños graves, por lo que se recomienda por el momento aplicar las medidas de mitigación con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. Además han asegurado que no se han visto vulneradas sus VPN, ni tampoco su serie de firewalls.

Por otra parte, la vulnerabilidad identificada con el CVE-2020-5146 en el dispositivo SonicWall SMA100, versión 10.2.0.2-20sv y anteriores, permite que un usuario de administración autenticado realice la inyección de comandos del sistema operativo utilizando parámetros HTTP POST.


Actualización 02/02/2021: Se ha confirmado la vulnerabilidad zero-day en la versión 10.x de la serie SMA 100. El firmware SMA 100 anterior a 10.x no se ve afectado, informó en una actualización de su aviso de seguridad.

Fue identificado un exploit que aprovecha la vulnerabilidad zero-day en los dispositivos SMA 100. SonicWall ya está trabajando en un parche que estará disponible al final del día 3 de febrero de 2021.

Adicionalmente SonicWall ha agregado 60 días gratuitos de habilitación de WAF a todos los dispositivos registrados de la serie SMA 100 con código 10.X como técnica de mitigación. Esta licencia de 60 días se habilitó automáticamente en las cuentas de “www.MySonicWall.com” de los dispositivos registrados de la serie SMA 100 desde el 2 de febrero.

El parche del 3 de febrero sigue siendo la solución definitiva a la vulnerabilidad de zero-day. El parche incluirá un refuerzo de código adicional y debe aplicarse inmediatamente cuando esté disponible .

Adicionalmente a las recomendaciones ya mencionadas en este artículo, se sugiere cambiar las contraseñas de los dispositivos afectados.


Recomendaciones:

  • Si la serie SMA 100 (10.x) está detrás de un firewall, habilitar la funcionalidad WAF en el dispositivo de la serie SMA 100, siga las INSTRUCCIONES.
  • Apague el dispositivo de la serie SMA 100 (10.x) hasta que haya un parche disponible; o
  • Cargue la versión de firmware 9.x después de reiniciar la configuración predeterminada de fábrica. * Haga una copia de seguridad de su configuración 10.x *
    • Nota importante: No se admite la degradación directa del firmware 10.x a 9.x con la configuración intacta. Primero debe reiniciar el dispositivo con los valores predeterminados de fábrica y luego cargar una configuración 9.x respaldada o reconfigurar el SMA 100 desde cero.
    • Restablezca las contraseñas de usuario para las cuentas que utilizaron la serie SMA 100 con firmware 10.X
  • Habilite la autenticación de dos factores (2FA) en los dispositivos de la serie SMA 100. Referencia.
  • Además:

Referencias


    pie.png

    CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
    Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

    Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
    República del Paraguay

    80x15.png

    Versión del Template 1.11