SonicWall emitió una alerta de seguridad urgente en la que advertía a sus clientes de que algunos de sus dispositivos VPN seguros actuales y heredados estaban bajo ataque activo.
El proveedor de seguridad SonicWall está advirtiendo a sus clientes que parcheen su hardware de VPN segura para empresas con el fin de frustrar una «inminente campaña de ransomware que utiliza credenciales robadas» que está explotando los agujeros de seguridad en los modelos actuales y en los que ejecutan firmware heredado.
El objetivo son los dispositivos VPN seguros Secure Mobile Access (SMA) serie 100 y Secure Remote Access (SRA) de la empresa con firmware 8.x sin parchear y al final de su vida útil. En una nota de seguridad publicada el jueves, la compañía informó de que los investigadores de Mandiant identificaron «actores de amenazas que se dirigen activamente» a tres modelos de SMA 100 y a nueve productos VPN seguros de la serie SRA más antiguos que ya no reciben soporte de SonicWall.
«Las organizaciones que no tomen las medidas adecuadas para mitigar estas vulnerabilidades en sus productos de la serie SRA y SMA 100 corren el riesgo inminente de sufrir un ataque de ransomware dirigido», según el boletín de seguridad.
Según los informes de The Record, los fallos y los ataques son continuos y se remontan a la investigación publicada en junio por Crowdstrike. Los investigadores afirmaron que el aviso de seguridad de SonicWall del jueves es parte de una explotación en curso de una vulnerabilidad (CVE-2019-7481), que revelaron el mes pasado.
«Los equipos de respuesta a incidentes de CrowdStrike Services identificaron a actores del crimen electrónico aprovechando una antigua vulnerabilidad de SonicWall VPN, CVE-2019-7481, que afecta a los dispositivos Secure Remote Access (SRA) 4600; la capacidad de aprovechar la vulnerabilidad para afectar a los dispositivos SRA no había sido revelada previamente por SonicWall», escribió.
¿Qué parches y mitigación de SonicWall están disponibles?
Se insta a los clientes a actualizar el firmware inmediatamente en aquellos dispositivos que todavía son compatibles y a «desconectar inmediatamente» los productos heredados, incluyendo SRA 4600/1600 (EoL 2019), SRA 4200/1200 (EoL 2016) y SSL-VPN 200/2000/400 (EoL 2013/2014).
«Si su organización está utilizando un dispositivo SRA heredado que ha pasado el estado de fin de vida y no puede actualizar al firmware 9.x, el uso continuado puede dar lugar a la explotación de ransomware», dijo SonicWall.
Si el hardware heredado no se puede actualizar a las versiones 9.x o 10.x del firmware de SonicWall, la compañía dijo que una versión gratuita de su SMA 500v virtual está disponible durante los próximos 108 días, con el regalo que expira el 31 de octubre.
Para los productos de la serie SRA con soporte activo (210/410/500v), SonicWall aconseja a los clientes que ejecutan el firmware 9.x que actualicen inmediatamente a la versión 9.0.0.10-28sv o posterior. En el caso de los clientes de la serie SRA que ejecutan el firmware 10.x, SonicWall dijo que los clientes deben actualizar inmediatamente a la versión 10.2.0.7-34sv o posterior.
Un portavoz de SonicWall envió esta declaración a Threatpost: «Los actores de amenazas aprovecharán cualquier oportunidad para victimizar a las organizaciones con fines maliciosos. Esta explotación se dirige a una vulnerabilidad conocida desde hace tiempo que fue parcheada en las nuevas versiones de firmware publicadas a principios de 2021. SonicWall se puso en contacto inmediatamente y en repetidas ocasiones con las organizaciones afectadas para informarles de los pasos a seguir para mitigar la vulnerabilidad y para orientarles sobre las actualizaciones.
«Aunque la huella de los dispositivos impactados o no parcheados es relativamente pequeña, SonicWall sigue aconsejando encarecidamente a las organizaciones que parcheen los dispositivos soportados o retiren los dispositivos de seguridad que ya no son soportados, especialmente a medida que recibe inteligencia actualizada sobre las amenazas emergentes. El uso continuado de firmware sin parchear o de dispositivos al final de su vida útil, independientemente del proveedor, es un riesgo de seguridad activo.»
Más allá del fallo del firmware
Además de las mitigaciones instadas anteriormente, SonicWall recomendó encarecidamente restablecer las credenciales utilizadas para sus productos SMA y SRA.
«Como mitigación adicional, también debe restablecer inmediatamente todas las credenciales asociadas con su dispositivo SMA o SRA, así como cualquier otro dispositivo o sistema que utilice las mismas credenciales», escribió la compañía.
SonicWall ocupó el sexto lugar, con un 3% de cuota de mercado, en la clasificación de IDC para el hardware de dispositivos de seguridad global en el cuarto trimestre de 2020, por detrás de Huawei (4%). Más concretamente, dentro del mercado de VPN seguras para empresas, SonicWall está considerado como un actor principal: Ocupa el sexto lugar, según JC Market Research.
En lo que va de año, SonicWall ha tenido que apagar varios incendios de seguridad. En junio, la empresa se vio obligada a actualizar una solución para un fallo que afectaba a unos 800.000 dispositivos y que podía provocar fallos o impedir que los usuarios se conectaran a los recursos corporativos. En marzo, los investigadores informaron de que una variante de Mirai se dirigía a fallos conocidos en los dispositivos de SonicWall. Y en enero, el proveedor de seguridad investigó vulnerabilidades de día cero en su hardware de la serie SMA 100.
Espero que les guste la noticia, no olvide compartir en las redes.
