Nikita Abramov, investigador de la firma de seguridad Positive Technologies, emitió una alerta relativa a CVE-2021-20026, una vulnerabilidad de inyección de comandos en las soluciones Network Security Manager (NSM), producidas por SonicWall. Las actualizaciones para abordar esta falla fueron lanzadas a finales de mayo.
En ese momento, la falla recibió un puntaje de 8.8/10 en la escala del Common Vulnerability Scoring System (CVSS). Un actor de amenazas autenticado podría explotar la vulnerabilidad para realizar una inyección de comandos del sistema operativo mediante el envío de solicitudes especialmente diseñadas.
En su reporte, la compañía menciona: “Hemos abordado una vulnerabilidad en un producto específico y que reside solo en implementaciones NSM locales. Las versiones SaaS no se ven afectadas por esta vulnerabilidad de inyección de comandos y su ejecución permite la ejecución de comandos en el sistema operativo con privilegios de usuario root.”
Por su parte, Abramov asegura que la falla existe debido a la incorrecta validación de los datos ingresados por el usuario al sistema operativo. El investigador menciona que un actor de amenazas con privilegios mínimos en NSM podría explotar la vulnerabilidad.
“Un ataque exitoso requiere autorización en NSM con un nivel mínimo de privilegios. SonicWall NSM permite la gestión centralizada de cientos de dispositivos, por lo que la manipulación de este sistema puede afectar de forma negativa la capacidad de trabajo de una organización, hasta el punto de interrumpir por completo su sistema de protección y detener decenas de procesos fundamentales”, concluye Abramov.
Como de costumbre, se invita a los usuarios de implementaciones afectadas a abordar las fallas con la instalación de los parches de seguridad lanzados por SonicWall. Por el momento no se conocen métodos de mitigación alternativos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
