Vulnerabilidades críticas de la VPN de SonicWall permiten tomar el control de dispositivos
Las vulnerabilidades críticas en los dispositivos VPN de la serie 100 de Secure Mobile Access (SMA) de SonicWall podrían permitir que un usuario remoto no autenticado ejecute código como root.
La línea SMA 100 se creó para proporcionar acceso remoto seguro de un extremo a otro a los recursos corporativos. Permite acceder a los recursos ya sea que estén alojados en centros de datos locales, en la nube o híbridos. También ofrece control de acceso a las aplicaciones mediante políticas después de establecer la identidad y la confianza del usuario y del dispositivo.
La más grave de las vulnerabilidades, oficialmente un problema de desbordamiento de búfer, tiene un 9.8 sobre 10 en la escala de vulnerabilidad-gravedad de CVSS. Si se explota, podría permitir que un atacante remoto no autenticado ejecute código como un usuario “nobody” en el dispositivo, lo que significa que la persona ingresa como root. El atacante podría continuar tomando el control completo del dispositivo, habilitando y deshabilitando las políticas de seguridad. Además, podría habilitar y deshabilitar los privilegios de acceso para las cuentas de usuario y las aplicaciones.
La vulnerabilidad (CVE-2021-20038) surge porque la función strcat()
se usa cuando se manejan variables de entorno del método HTTP GET
usado en el servidor Apache httpd
del dispositivo.
Otras CVEs críticas de SonicWall
CVE-2021-20038 es solo uno de los muchos errores que el proveedor solucionó esta semana. También es de destacar otro grupo de errores, rastreados colectivamente como CVE-2021-20045, que tiene una puntuación CVSS crítica combinada de 9.4. Estos son desbordamientos de búfer del explorador de archivos que permiten la ejecución remota de código (RCE) como root.
“Esta vulnerabilidad se debe al método sonicfiles RAC_COPY_TO (RacNumber 36)
que permite a los usuarios cargar archivos en un recurso compartido de SMB y se pueden llamar sin ninguna autenticación”, según el aviso. RacNumber 36
de la API sonicfiles se asigna al método upload_file
de Python y esto está asociado con el binario filexplorer
. Filexplorer es un programa personalizado escrito en C++ que es vulnerable a una serie de problemas de seguridad de la memoria.
También está CVE-2021-20043, con una puntuación CVSS crítica de 8.8, que también es un desbordamiento de búfer que permite la ejecución de código de nivel root. Sin embargo requiere autenticación para explotar. Se encuentra en la función getBookmarks y también se debe al uso no verificado de strcat
.
Esta vulnerabilidad se debe al método RAC_GET_BOOKMARKS_HTML5 (RacNumber 35)
que permite a los usuarios enumerar sus marcadores.
Los errores restantes son una gran cantidad de vulnerabilidades autenticadas y no autenticadas que varían en severidad desde CVSs 6.3 a 7.5. Estas las puedes observar en el cuadro a continuación:
SonicWall ha publicado parches para las vulnerabilidades, que afectan a las versiones de sus productos SMA 200, 210, 400, 410 y 500v. Los dispositivos de la serie SMA 100 con WAF habilitado también se ven afectados por la mayoría de los errores. Puedes encontrar una lista completa de dispositivos y versiones afectadas aquí.
El descubrimiento de las vulnerabilidades se les atribuyó a Jacob Baines de Rapid7 y Richard Warren de NCC Group.
Parchear inmediatamente
El proveedor dijo que hasta ahora, no hay evidencia de que estas vulnerabilidades se estén explotando en el entorno. No obstante, los parches deberían estar en la agenda dado que los dispositivos SonicWall son un objetivo atractivo para los ciberatacantes.
En julio, SonicWall emitió una alerta de seguridad urgente. La alerta advertía a los clientes que una “campaña de ransomware inminente con credenciales robadas” apuntaba activamente a vulnerabilidades conocidas en la serie SMA 100 y sus dispositivos VPN de acceso remoto seguro (SRA).
En marzo, salió a la luz que una nueva variante de la botnet Mirai apuntaba a vulnerabilidades conocidas en los dispositivos SonicWall (así como en D-Link y Netgear). Y en enero, la firma de seguridad Tenable advirtió que “ciberdelincuentes altamente sofisticados” estaban explotando CVE-2021-20016, una vulnerabilidad crítica de inyección de SQL en dispositivos SMA 100.