CISA alerta sobre vulnerabilidad en dispositivos SonicWall SMA que está siendo explotada activamente.
Publicado enAtaques

CISA alerta sobre vulnerabilidad en dispositivos SonicWall SMA que está siendo explotada activamente.

No hay comentarios

CISA advierte sobre explotación activa de vulnerabilidad crítica en gateways SonicWall SMA 100

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha incluido una vulnerabilidad crítica que afecta a los dispositivos Secure Mobile Access (SMA) 100 Series de SonicWall en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La decisión se basa en evidencia de explotación activa en entornos reales.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad, identificada como CVE-2021-20035 con un puntaje CVSS de 7.2 (alto), corresponde a una inyección de comandos a nivel de sistema operativo. Este tipo de fallo permite a un atacante autenticado ejecutar comandos arbitrarios con privilegios elevados en el sistema afectado.

Los gateways SMA 100 de SonicWall son dispositivos ampliamente utilizados para proporcionar acceso remoto seguro a redes corporativas. La explotación exitosa de esta vulnerabilidad podría permitir:

  • Ejecución remota de código (RCE)
  • Compromiso completo del dispositivo
  • Movimiento lateral dentro de la red
  • Interceptación de tráfico VPN

Impacto y mitigaciones recomendadas

SonicWall ha publicado parches para corregir esta vulnerabilidad en las siguientes versiones:

  • SMA 100 series firmware 10.2.1.2-29sv y posteriores
  • SMA 100 series firmware 10.2.0.8-37sv y posteriores

CISA recomienda encarecidamente a las organizaciones:

  • Aplicar inmediatamente los parches disponibles
  • Restringir el acceso administrativo a estos dispositivos
  • Implementar listas de control de acceso (ACLs) para limitar el tráfico
  • Monitorear los logs en busca de actividades sospechosas

Contexto de amenazas actual

La inclusión en el catálogo KEV de CISA indica que esta vulnerabilidad está siendo explotada activamente por actores maliciosos. Históricamente, los dispositivos de acceso remoto han sido objetivos frecuentes para grupos de ransomware y APTs debido a su posición estratégica en la red.

Organizaciones que aún no hayan aplicado los parches deben considerar estos dispositivos como potencialmente comprometidos y realizar investigaciones forenses adecuadas.

Para más información técnica sobre esta vulnerabilidad, consulte la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta