Llegamos a ustedes gracias a:



Alertas de Seguridad

SonicWall advierte a sus clientes

Sobre las vulnerabilidades de día cero

[25/01/2021] El fabricante de firewalls y dispositivos de seguridad de red SonicWall insta a sus clientes a tomar medidas preventivas después de que sus propios sistemas fueran atacados a través de vulnerabilidades previamente desconocidas en algunos de sus productos. "Recientemente, SonicWall identificó un ataque coordinado contra sus sistemas internos por parte de actores de amenazas altamente sofisticados que explotaban probables vulnerabilidades de día cero en ciertos productos de acceso remoto seguro de SonicWall", señaló la compañía en una alerta en su sitio web a última hora del viernes.

Inicialmente, la empresa sospechaba que varios de sus dispositivos físicos y virtuales de la serie Secure Mobile Access (SMA), así como el cliente VPN NetExtender y los firewalls SonicWall eran vulnerables. Sin embargo, tras una investigación más profunda, la lista de productos vulnerables fue revisada el sábado.

La empresa determinó que ninguna generación de firewalls SonicWall está afectada, y tampoco lo están el cliente NetExtender VPN, los AP SonicWave de SonicWall o la serie SMA 1000. Los únicos productos vulnerables siguen siendo los dispositivos de la serie SMA 100, que incluyen SMA 200, SMA 210, SMA 400, SMA 410 y SMA 500v (virtual).

Los dispositivos de la serie SMA 100 son gateways de gestión de acceso para pequeñas y medianas empresas que permiten proporcionar a los empleados remotos acceso basado en navegador y VPN a los recursos internos de la empresa, o incluso a recursos híbridos alojados en la nube. Puede combinarse con un cliente VPN como el cliente VPN NetExtender.

"Los actuales clientes de la serie SMA 100 pueden seguir utilizando NetExtender para el acceso remoto con la serie SMA 100", afirmó la compañía. "Hemos determinado que este caso de uso no es susceptible de explotación".

Se insta a los clientes de la serie SMA 100 a tomar medidas

Sin embargo, se recomienda encarecidamente a los usuarios de los dispositivos de la serie SMA 100 que ejecutan la versión 10.x del software, que desactiven el acceso a la Oficina Virtual y a la interfaz administrativa HTTPS desde Internet mientras se investigan las vulnerabilidades. Si eso no es práctico, los clientes deberían al menos aplicar reglas de acceso basadas en IP. Esto se puede conseguir a través de un firewall o desde el propio SMA siguiendo las instrucciones de la empresa.

Otra recomendación es habilitar la autenticación multifactor para todas las cuentas de SMA, del firewall de SonicWall o de MySonicwall. El SMA admite contraseñas de un solo uso basadas en el tiempo (TOTP) generadas con aplicaciones móviles como Google Authenticator. También se puede habilitar TOTP para que funcione además de la autenticación LDAP para las conexiones SSL-VPN en los dispositivos SonicWall.

Los motivos del atacante de SonicWall no están claros

No está claro qué buscaban los hackers que atacaron a SonicWall, y si su objetivo era el ciberespionaje o tenía un motivo financiero, como con el ransomware y otros tipos de extorsión. La empresa no ha facilitado ninguna información sobre las cargas útiles del ataque, las herramientas u otros indicadores de compromiso (IOC). Un representante de SonicWall dijo a CSO por correo electrónico que la compañía no está divulgando información adicional en este momento, más allá de lo que se publicó en su alerta.

Los atacantes atacan a los proveedores de seguridad

SonicWall es el tercer proveedor de ciberseguridad que ha anunciado recientemente una falla de seguridad después de FireEye y Malwarebytes. Tanto FireEye como Malwarebytes fueron atacados por el mismo actor de amenaza que está asociado con los servicios de inteligencia rusos y que también fue responsable del mayor ataque a la cadena de suministro de software que implicaba actualizaciones de software de SolarWinds envenenadas. Malwarebytes fue el objetivo a través de un vector de ataque diferente que implica aplicaciones con acceso privilegiado a los entornos de Microsoft Office 365 y Azure. Un vector de ataque similar se intentó contra la firma de ciberseguridad CrowdStrike.

Aunque por el momento no hay ninguna relación entre el ataque contra SonicWall y los de SolarWinds o Azure, está claro que los hackers en general ya no se abstienen de atacar incluso a las organizaciones más conscientes de la seguridad: los propios proveedores de seguridad.