Los piratas informáticos están explotando un día cero crítico en los dispositivos de SonicWall

El proveedor de seguridad de red SonicWall dijo el lunes que los piratas informáticos están explotando una vulnerabilidad crítica de día cero en uno de los dispositivos que vende.

La falla de seguridad reside en la serie Secure Mobile Access 100, dijo SonicWall en un aviso actualizado el lunes. La vulnerabilidad, que afecta al código 10.x del firmware SMA 100, no está programada para recibir una solución hasta el final del martes.

La actualización del lunes se produjo un día después de que la empresa de seguridad NCC Group dijo en Twitter que había detectado “el uso indiscriminado de un exploit en la naturaleza”. El tweet de NCC se refería a una versión anterior del aviso de SonicWall que decía que sus investigadores habían “identificado un ataque coordinado en sus sistemas internos por parte de actores de amenazas altamente sofisticados que explotaban probables vulnerabilidades de día cero en ciertos productos de acceso remoto seguro de SonicWall”.

En un correo electrónico, una portavoz de NCC Group escribió: “Nuestro equipo ha observado signos de un intento de explotación de una vulnerabilidad que afecta a los dispositivos de la serie SonicWall SMA 100. Estamos trabajando en estrecha colaboración con SonicWall para investigar esto con más profundidad “.

En la actualización del lunes, los representantes de SonicWall dijeron que el equipo de ingeniería de la compañía confirmó que la presentación de NCC Group incluía un “día cero crítico” en el código 10.x de la serie SMA 100. SonicWall lo rastrea como SNWLID-2021-0001. los Serie SMA 100 es una línea de dispositivos seguros de acceso remoto.

La divulgación convierte a SonicWall en al menos la quinta gran empresa en informar en las últimas semanas que fue blanco de hackers sofisticados. Otras empresas incluyen al proveedor de herramientas de gestión de red SolarWinds, Microsoft, FireEye y Malwarebytes. CrowdStrike también informó haber sido un objetivo, pero dijo que el ataque no tuvo éxito.

Ni SonicWall ni NCC Group dijeron que el pirateo que involucraba el día cero de SonicWall estaba vinculado a la campaña de pirateo de SolarWinds más grande. Sin embargo, según el momento de la divulgación y algunos de los detalles que contiene, existe una especulación generalizada de que los dos están conectados.

NCC Group se ha negado a proporcionar detalles adicionales antes de que se corrija el día cero para evitar que se explote aún más la falla.

Las personas que utilizan la serie SMA 100 de SonicWall deben leer atentamente el aviso de la compañía y seguir las instrucciones provisionales para asegurar los productos antes de que se publique una solución. El principal de ellos:

1. Si debe continuar el funcionamiento del dispositivo de la serie SMA 100 hasta que haya un parche disponible
   • Habilite MFA. Este es un paso * CRÍTICO * hasta que el parche esté disponible.
   • Restablezca las contraseñas de usuario para las cuentas que utilizaron la serie SMA 100 con firmware 10.X
2. Si la serie SMA 100 (10.x) está detrás de un firewall, bloquee todo acceso al SMA 100 en el firewall;
3. Apague el dispositivo de la serie SMA 100 (10.x) hasta que haya un parche disponible; o
4. Cargue la versión de firmware 9.x después de reiniciar la configuración predeterminada de fábrica. * Haga una copia de seguridad de su configuración 10.x *
   • Nota IMPORTANTE: No se admite la degradación directa del firmware 10.xa 9.x con la configuración intacta. Primero debe reiniciar el dispositivo con los valores predeterminados de fábrica y luego cargar una configuración 9.x respaldada o reconfigurar el SMA 100 desde cero.
   • Asegúrese de seguir la guía de seguridad de las mejores prácticas de autenticación multifactor (MFA) si elige instalar 9.x.
   • Los firewalls SonicWall y los dispositivos de la serie SMA 1000, así como todos los clientes VPN respectivos, no se ven afectados y siguen siendo seguros de usar.

Esta publicación se actualizó para corregir la descripción del SMA 100.