Vulnerabilidad día cero afecta soluciones VPN de SonicWall. ¿Cómo mitigar el riesgo de explotación?

El equipo de seguridad de SonicWall emitió una alerta de seguridad relacionada con un grupo de hackers que ha estado explotando una falla día cero en sus soluciones de red privada virtual (VPN) que podría permitir el despliegue de ataques internos. Los productos de SonicWall son empleados por toda clase de pequeñas y medianas y grandes empresas, por lo que los expertos consideran que este es un problema de gran alcance.

En su alerta, publicada el viernes, la compañía menciona que los hackers han explotado esta falla en su dispositivo Secure Movile Access (SMA) VPN, además de abusar del cliente VPN NetExtender en una campaña de ataque sofisticado: “Hemos identificado un ataque coordinado asociado a la explotación de vulnerabilidades día cero en algunos productos VPN”. Según el reporte, los productos afectados por esta campaña maliciosa son:

  • Cliente VPN NetExtender v10.x, lanzada en 2020
  • Secure Mobile Access (SMA) v10.x, empleada por dispositivos físicos SMA 200, SMA 210, SMA 400, SMA 410 y el dispositivo virtual SMA 500v

Sobre los productos vulnerables, SMA es un dispositivo físico que proporciona acceso VPN a redes internas, mientras que NetExtender es un cliente de software empleado para la conexión a firewalls compatibles con la conexión VPN. El reporte menciona que los clientes pueden mitigar los riesgos de explotación habilitando un mecanismo de autenticación multi factor en los dispositivos afectados, además de restringir el acceso a un dispositivo vulnerable en función de las direcciones IP consideradas legítimas por los administradores de sistemas.

SonicWall publicó un informe incluyendo descripciones detalladas de los productos vulnerables, además de una lista completa de las posibles soluciones temporales. Por el momento la compañía no revelará detalles técnicos sobre las fallas, aunque se sabe que las vulnerabilidades pueden ser explotadas de forma remota en dispositivos de acceso público.

Sobre los ataques detectados hasta el momento, un informe de ciberseguridad menciona que los actores de amenazas tienen pleno conocimiento de estas fallas: “Diversos grupos de hacking afirman contar con información sobre un conocido proveedor de firewall y otras soluciones de seguridad; las grandes compañías son especialmente vulnerables a esta clase de ataques”, afirma el reporte.

La explotación de fallas en productos VPN es una de las principales amenazas de seguridad para miles de organizaciones en todo el mundo, ya que un ataque exitoso permitiría a los hackers maliciosos obtener acceso privilegiado a los sistemas comprometidos e incluso permitiría el despliegue de ataques posteriores. Muchas de las más peligrosas campañas de ataque en tiempos recientes se dirigen a esta clase de soluciones, por lo que es necesario adoptar un mayor enfoque de prevención.