Exploit Zero-day para dispositivos SMA 100 de SonicWall

ANÁLISIS

 A dia 1 de febrero de 2021, la firma de ciberseguridad NCC Group ha reportado una vulnerabilidad Zero-Day en SonicWall SMA100, que se está explotando activamente. El 22 de enero, SonicWall reveló que sufrieron un ataque en sus sistemas internos utilizando una vulnerabilidad  "probable" en dispositivos de red específicos de SonicWall. [4]

Si bien SonicWall está investigando la vulnerabilidad y no ha proporcionado muchos detalles, afirman que probablemente afecte a su línea de dispositivos de acceso remoto de la serie SMA 100 (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v).

Durante el fin de semana pasado, la empresa de ciberseguridad NCC Group publicó meidiante twitter que habían detectado un exploit contra los dispositivos SonicWall SMA 100 que se usaban indiscriminadamente en Internet. "Nuestro equipo ha observado signos de un intento de explotación de una vulnerabilidad que afecta a los dispositivos de la serie SonicWall SMA 100". [2]

SonicWall está realizando un seguimiento de esta vulnerabilidad, clasificada como SNWLID-2021-0001 [3].

RECOMENDACIONES 

Como mitigación contra el ataque, SonicWall afirma que los administradores deben habilitar la autenticación multifactor (MFA) en los dispositivos y mantener su versión de firmware 10.X. Por otro lado,  recomiendan configurar restricciones de dirección IP en la interfaz de administración. SonicWall también ha publicado una guía de Hardening y buenas prácticas para sus dispositivos SMA. [1]

REFERENCIAS

[1] https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-confirms-sma-100-series-10-x-zero-day-vulnerability-feb-1-2-p-m-cst/210122173415410/
[2] https://twitter.com/NCCGroupInfosec/status/1355850304596680705
[3] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
[4] https://www.bleepingcomputer.com/news/security/sonicwall-sma-100-zero-day-exploit-actively-used-in-the-wild/