Los piratas informáticos explotan un día cero crítico en los dispositivos SonicWall


La frase Día Cero se puede descubrir en una pantalla de computadora monocromática llena de unos y ceros.

El proveedor de seguridad de red SonicWall dijo el lunes que los piratas informáticos estaban explotando una vulnerabilidad crítica de día cero en uno de los dispositivos que vende.

La vulnerabilidad radica en la serie Secure Mobile Access 100, dijo SonicWall en un aviso actualizado el lunes. No se espera que la vulnerabilidad que afecta a las versiones 10.x del firmware SMA 100 se resuelva hasta el martes por la noche.

La actualización del lunes se produjo un día después de que la empresa de seguridad NCC Group dijo en twitter que había descubierto «el uso indiscriminado de un exploit en la naturaleza». El tweet de NCC se refería a una versión anterior de SonicWall Opinion que decía que sus investigadores habían «identificado un ataque coordinado en sus sistemas internos por parte de sofisticados actores de amenazas que explotaban probables vulnerabilidades de día cero para ciertos productos de acceso remoto seguro de SonicWall».

En un correo electrónico, una portavoz de NCC Group escribió: “Nuestro equipo ha visto evidencia de intento de explotación de una vulnerabilidad que afecta a los dispositivos de la serie SonicWall SMA 100. Estamos trabajando en estrecha colaboración con SonicWall para investigar esto con más profundidad. «

En la actualización del lunes, los funcionarios de SonicWall dijeron que el equipo de ingeniería de la compañía confirmó que la presentación del Grupo NCC incluía un «día cero crítico» en el código 10.x de la serie SMA 100. SonicWall lo rastrea como SNWLID-2021-0001. La serie SMA 100 es una gama de dispositivos de acceso remoto seguros.

Debido a esta divulgación, SonicWall es al menos la quinta gran empresa que informa en las últimas semanas que ha sido atacada por hackers sofisticados. Otras empresas incluyen a los proveedores de herramientas de gestión de red SolarWinds, Microsoft, FireEye y Malwarebytes. CrowdStrike también informó que fue atacado, pero dijo que el ataque no tuvo éxito.

Ni SonicWall ni el Grupo NCC declararon que el hack que involucró a SonicWall Zeroday estaba vinculado a la campaña de hack de SolarWinds más grande. Sin embargo, según el momento de la divulgación y algunos de los detalles que contiene, existe una especulación generalizada de que los dos están vinculados.

El Grupo NCC se ha negado a proporcionar detalles adicionales antes de que se corrija el día cero para evitar una mayor explotación del error.

Las personas que utilicen la serie SonicWall SMA 100 deben leer atentamente las recomendaciones de la empresa y seguir las instrucciones para proteger los productos antes de que se publique una solución. El principal de ellos:

  1. Cuando necesite seguir utilizando el dispositivo de la serie SMA 100 hasta que haya un parche disponible
    • Habilite MFA. Este es un paso * CRÍTICO * hasta que el parche esté disponible.
    • Restablezca las contraseñas de usuario para las cuentas que utilizaron la serie SMA 100 con firmware 10.X
  2. Si la serie SMA 100 (10.x) está detrás de un firewall, bloquee todos los accesos al SMA 100 en el firewall.
  3. Apague el dispositivo de la serie SMA 100 (10.x) hasta que haya un parche disponible. o
  4. Cargue la versión de firmware 9.x después de reiniciar la configuración de fábrica. * Guarde su configuración 10.x *
    • Nota IMPORTANTE: No se admite una degradación directa del firmware 10.xa 9.x con la configuración intacta. Primero debe reiniciar el dispositivo con la configuración predeterminada de fábrica y luego cargar una configuración 9.x guardada o configurar el SMA 100 desde cero.
    • Asegúrese de seguir las mejores pautas de seguridad para la autenticación multifactor (MFA) al instalar 9.x.
      Los cortafuegos y dispositivos SonicWall de la serie SMA 1000, así como todos los clientes VPN correspondientes, no se ven afectados y aún se pueden utilizar de forma segura.

Esta entrada se ha actualizado para corregir la descripción del SMA 100.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *