Los piratas informáticos están explotando un día cero crítico en los dispositivos de SonicWall

El proveedor de seguridad de redes SonicWall dijo el lunes que los piratas informáticos están explotando una vulnerabilidad crítica de día cero en uno de los dispositivos que vende.

La falla de seguridad reside en la serie Secure Mobile Access 100, dijo SonicWall en un aviso actualizado el lunes. La vulnerabilidad, que afecta el código 10.x del firmware SMA 100, no está programada para recibir una solución hasta el final del martes.

La actualización del lunes llegó un día después de que la empresa de seguridad NCC Group dijo en Twitter que había detectado «el uso indiscriminado de un exploit en la naturaleza». El tweet de NCC se refería a una versión anterior del aviso de SonicWall que decía que sus investigadores habían «identificado un ataque coordinado en sus sistemas internos por parte de actores de amenazas altamente sofisticados que explotan vulnerabilidades probables de día cero en ciertos productos de acceso remoto seguro de SonicWall».

En un correo electrónico, una portavoz de NCC Group escribió: “Nuestro equipo ha observado signos de un intento de explotación de una vulnerabilidad que afecta a los dispositivos de la serie SonicWall SMA 100. Estamos trabajando en estrecha colaboración con SonicWall para investigar esto con mayor profundidad”.

En la actualización del lunes, los representantes de SonicWall dijeron que el equipo de ingeniería de la compañía confirmó que la presentación de NCC Group incluía un «día cero crítico» en el código 10.x de la serie SMA 100. SonicWall lo está rastreando como SNWLID-2023-0001. La serie SMA 100 es una línea de dispositivos de acceso remoto seguro.

La divulgación convierte a SonicWall en al menos la quinta gran empresa en informar en las últimas semanas que fue atacada por piratas informáticos sofisticados. Otras empresas incluyen al proveedor de herramientas de gestión de red SolarWinds, Microsoft, FireEye y Malwarebytes. CrowdStrike también informó haber sido atacado, pero dijo que el ataque no tuvo éxito.

Ni SonicWall ni NCC Group dijeron que el hackeo del día cero de SonicWall estaba relacionado con la campaña de hackeo más grande que involucraba a SolarWinds. Sin embargo, según el momento de la divulgación y algunos de los detalles, existe una especulación generalizada de que los dos están conectados.

NCC Group se ha negado a proporcionar detalles adicionales antes de que se solucione el día cero para evitar que la falla se explote aún más.

Las personas que utilizan la serie SMA 100 de SonicWall deben leer detenidamente el aviso de la empresa y seguir las instrucciones provisionales para asegurar los productos antes de que se publique una solución. Principal entre ellos:

1. Si debe continuar con el funcionamiento del dispositivo de la serie SMA 100 hasta que haya un parche disponible
   • Habilitar MFA. Este es un paso *CRÍTICO* hasta que el parche esté disponible.
   • Restablecer contraseñas de usuario para cuentas que utilizaron la serie SMA 100 con firmware 10.X
2. Si la serie SMA 100 (10.x) está detrás de un firewall, bloquee todos los accesos al SMA 100 en el firewall;
3. Apague el dispositivo de la serie SMA 100 (10.x) hasta que haya un parche disponible; o
4. Cargue la versión de firmware 9.x después de reiniciar la configuración predeterminada de fábrica. *Por favor, haga una copia de seguridad de su configuración 10.x*
   • Nota IMPORTANTE: No se admite la degradación directa del firmware 10.x a 9.x con la configuración intacta. Primero debe reiniciar el dispositivo con los valores predeterminados de fábrica y luego cargar una configuración 9.x respaldada o reconfigurar el SMA 100 desde cero.
   • Asegúrese de seguir la guía de seguridad de mejores prácticas de autenticación multifactor (MFA) si elige instalar 9.x.
   • Los firewalls SonicWall y los dispositivos de la serie SMA 1000, así como todos los clientes VPN respectivos, no se ven afectados y su uso sigue siendo seguro.

Esta publicación se actualizó para corregir la descripción del SMA 100.