• Saltar a la navegación principal
  • Saltar al contenido principal
S2 Grupo

Empresa Española Especializada en Ciberseguridad

  • Empresa
    • Sobre nosotros
    • Equipo directivo
    • RSE
    • Reconocimientos
  • Especialización
    • OT Industrial
    • IT
    • OT Salud
  • Soluciones
  • I+D+i
  • Talento
  • Noticias y publicaciones
  • Contacto
  • facebook
  • twitter
  • instagram
  • linkedin
|
es arrow down
  • en
© 2023 S2 Grupo
Alertas

Vulnerabilidades en la serie SMA 100 de SonicWall

El proveedor de seguridad de redes SonicWall insta a sus clientes a actualizar sus dispositivos de la serie SMA 100 a la última versión tras el descubrimiento de múltiples vulnerabilidades de seguridad que podrían ser aprovechadas por un atacante remoto para tomar el control completo de un sistema afectado [1].
09 Dec 2021

ANÁLISIS

Los fallos afectan a los productos SMA 200, 210, 400, 410 y 500v que ejecutan las versiones 9.0.0.11-31sv y anteriores, 10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv y anteriores.

La explotación exitosa de las fallas podría permitir a un adversario ejecutar código arbitrario, cargar payloads especialmente diseñados, modificar o eliminar archivos ubicados en directorios específicos, reiniciar el sistema de forma remota, eludir las reglas del firewall e incluso consumir toda la CPU del dispositivo, causando potencialmente una denegación de servicio (DoS).

La lista de ocho vulnerabilidades de seguridad identificadas en sus productos de acceso remoto es la siguiente [2]:

- CVE-2021-20038 (puntuación CVSS: 9,8) - Vulnerabilidad de desbordamiento de búfer de pila sin autenticación en la serie SMA100.

Una vulnerabilidad de gravedad crítica (CVSS 9.8) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado provocar un desbordamiento de búfer de pila y ejecutar código como usuario sin privilegios en el dispositivo SMA100. Se ha observado que los usuarios de SMA 100 con WAF con licencia/habilitado se ven afectados por esta vulnerabilidad.

La vulnerabilidad se debe a que el método GET del servidor SonicWall SMA SSLVPN Apache httpd de las variables de entorno del módulo mod_cgi utilizan un único búfer basado en la pila utilizando `strcat`. Esto permite a un atacante remoto provocar un desbordamiento del búfer basado en la pila y daría lugar a la ejecución de código.

- CVE-2021-20039 (puntuación CVSS: 7,2) - Vulnerabilidad de inyección de comandos autentificados de la serie SMA 100 como root.

Una vulnerabilidad de alta gravedad (CVSS 7.2) en los dispositivos SMA 100, que incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios en el dispositivo SMA 100 como usuario root. Esto puede conducir potencialmente a que el atacante remoto autenticado tome el control del dispositivo SMA 100 de forma remota. Se ha observado que los usuarios de SMA 100 con WAF con licencia/habilitado NO se ven afectados por esta vulnerabilidad.

La vulnerabilidad se debe al método http POST de SonicWall SMA SSLVPN `/cgi-bin/viewcert` que permite a las personas autenticadas cargar, ver o eliminar certificados SSL. Un atacante remoto autenticado puede ejecutar comandos arbitrarios utilizando este método POST http.

- CVE-2021-20040 (puntuación CVSS: 6,5) - Vulnerabilidad en la carga de archivos no autenticada de la serie SMA 100.

Una vulnerabilidad de gravedad media (CVSS 6.5) en los dispositivos SMA 100, que incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado cargar archivos arbitrarios. El atacante puede cargar páginas web manipuladas en el directorio raíz del servidor web o archivos maliciosos en cualquier directorio del dispositivo como usuario no autorizado. Se ha observado que los dispositivos SMA 100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad.

Esto se debe a la vulnerabilidad Path Traversal Attack [3]. La vulnerabilidad de ataques Path traversal en SMA100 comparte la funcionalidad que permite a un atacante remoto no autenticado subir archivos arbitrarios a cualquier directorio del dispositivo.

- CVE-2021-20041 (puntuación CVSS: 7,5) - Vulnerabilidad de agotamiento de la CPU sin autenticación en la serie SMA 100.

Una vulnerabilidad de alta gravedad (CVSS 7.5) en los dispositivos SMA 100, que incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un adversario no autenticado y remoto consumir toda la CPU del dispositivo, causando potencialmente una denegación de servicio. Se ha observado que los dispositivos SMA100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad.

El agotamiento de la CPU se debe a las peticiones HTTP falsas enviadas a https://address/fileshare/sonicfiles/sonicfiles`, lo que provoca un bucle infinito en el proceso `fileexplorer`.

- CVE-2021-20042 (puntuación CVSS: 6,3) - Vulnerabilidad de "Confused Deputy" [4] sin autenticación de la serie SMA 100.

Una vulnerabilidad de gravedad media (CVSS 6.3) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado utilizar los dispositivos de la serie SMA 100 como "proxy o intermediario no intencionado" (también conocido como Confused Deputy - véase CWE-441). El atacante externo puede utilizar el SMA 100 como proxy indetectable para saltarse las reglas del firewall. Se ha observado que los dispositivos SMA 100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad.

- CVE-2021-20043 (puntuación CVSS: 8,8) - Vulnerabilidad "getBookmarks" de desbordamiento del búfer basada en heap [5] en la serie SMA 100.

Una vulnerabilidad de gravedad crítica (CVSS 8.8) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto autenticado provocar un desbordamiento del búfer de pila y dar lugar a la ejecución de código como usuario no autorizado en el dispositivo SMA100. Se ha observado que los dispositivos SMA100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad.

Esta vulnerabilidad se debe al método RAC_GET_BOOKMARKS_HTML5 (RacNumber 35) que permite a los usuarios listar sus marcadores. Este método es vulnerable al desbordamiento del búfer de pila, debido al uso no comprobado de strcat. Por lo tanto, un atacante remoto autenticado puede provocar un desbordamiento de búfer basado en heap y daría lugar a la ejecución de código como usuario sin privilegios en el dispositivo SMA100.

- CVE-2021-20044 (puntuación CVSS: 7,2) - Vulnerabilidad de ejecución remota de código (RCE) tras la autenticación en la serie SMA 100.

Una vulnerabilidad de alta gravedad (CVSS 7.2) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante autenticado a distancia ejecutar comandos del sistema sin privilegios, el atacante puede modificar/borrar archivos en el directorio cgi-bin y también puede reiniciar el sistema de forma remota. Se ha observado que los dispositivos SMA100 con WAF licenciado/habilitado también están afectados por esta vulnerabilidad.

Esta vulnerabilidad se debe a una API de gestión expuesta que está escrita en Python Flask. Un atacante remoto autenticado puede ejecutar comandos del sistema como usuario sin privilegios en el dispositivo SMA100.

- CVE-2021-20045 (puntuación CVSS: 9,4) - Vulnerabilidades de desbordamiento del búfer de pila y del explorador de archivos basado en heap no autenticado de la serie SMA 100.

Una vulnerabilidad de gravedad crítica (CVSS 9.4) en los dispositivos SMA 100, entre los que se incluyen los SMA 200, 210, 400, 410 y 500v, podría permitir a un atacante remoto no autenticado provocar un desbordamiento del búfer de pila y de heap, lo que daría lugar a la ejecución de código como usuario no autenticado en el dispositivo SMA100. Se ha observado que los dispositivos SMA100 con WAF licenciado/habilitado también se ven afectados por esta vulnerabilidad. La explotación potencialmente conducente a la ejecución de código.

Esta vulnerabilidad se debe al método RAC_COPY_TO (RacNumber 36) de sonicfiles, que permite a los usuarios subir archivos a un recurso compartido SMB y puede ser llamado sin ninguna autenticación. El RacNumber 36 de la API de sonicfiles se corresponde con el método upload_file de Python y está asociado al binario filexplorer, que es un programa personalizado escrito en C++ que es vulnerable a una serie de problemas de seguridad de memoria.

RECOMENDACIONES

SonicWall insta a los clientes afectados a implementar los parches aplicables lo antes posible.

REFERENCIAS
[1] SonicWall Urges Customers to Immediately Patch Critical SMA 100 Flaws (thehackernews.com) 
[2] Security Advisory (sonicwall.com)
[3] Path Traversal | OWASP 
[4] Confused Deputy. The confused deputy problem is a form… | by Frank Hasanabad | Medium  
[5] ¿Qué es un Heap Overflow? - (cerounosoftware.com.mx)

  • fb
  • tw
  • in
Artículos relacionados
Ver todas →
Alertas
Campaña de phishing contra la DGT
Leer más →
Alertas
Campaña Emotet emails maliciosos
Leer más →
Alertas
Múltiples vulnerabilidades en Jira Server y Jira Data Center de Atlassian
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día

S2 Grupo
© 2023 S2 Grupo
  • Central de prensa
  • Aviso legal
  • Política de Privacidad
  • Política de Cookies
S2 Grupo utiliza cookies propias y de terceros para permitir tu navegación, fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica aquí para acceder a nuestra Política de Cookies. Puedes aceptar todas las cookies pulsando el botón “ACEPTAR” o configurar o rechazar su uso pulsando el Botón “CONFIGURAR”
ConfigurarAceptar cookies
Manage consent

Resumen de Privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Funcional
Las cookies funcionales ayudan a realizar ciertas funcionalidades, como compartir el contenido del sitio web en plataformas de redes sociales, recopilar comentarios y otras funciones de terceros.
CookieDuraciónDescripción
pll_language1 añoPolylang utiliza la cookie pll_language para recordar el idioma seleccionado por el usuario cuando regresa al sitio web, y también para obtener la información del idioma cuando no está disponible de otra manera.
Análisis
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
Necesaria
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
_GRECAPTCHA6 mesesEl servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics1 añoEstablecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional1 añoLa cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria1 añoEstablecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent1 añoRegistra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.
GUARDAR Y ACEPTAR
Funciona con CookieYes Logo