Se ha revelado que más de 178,000 firewalls (NGFW) de SonicWall, cuyas interfaces de administración están expuestas en línea, presentan vulnerabilidades ante ataques de denegación de servicio (DoS) y la posibilidad de ejecución remota de código (RCE).

Jon Williams, Ingeniero de Seguridad de Bishop Fox.

Estos dispositivos se ven afectados por dos fallos de seguridad DoS identificados como CVE-2022-22274 y CVE-2023-0656. Descubrimos que el primero era capaz de permitir a los atacantes, la ejecución remota de código, y que tenía su origen en el mismo patrón de código vulnerable, pero en una ubicación diferente, el exploit por otro lado, resultó efectivo contra tres rutas de URI adicionales. El 76% de estos firewalls (178,637 de 233,984) son susceptibles a uno o ambos problemas.

A pesar de que ambas vulnerabilidades comparten esencialmente la misma naturaleza, derivada de la reutilización del mismo patrón de código propenso a vulnerabilidades, pueden ser explotadas a través de diferentes rutas de URI HTTP.

Los ciberdelincuentes pueden utilizar estas vulnerabilidades para poner los dispositivos en modo de mantenimiento, requiriendo intervención administrativa para restaurar la funcionalidad estándar. Esto significa, que podrían deshabilitar firewalls perimetrales y el acceso VPN, cruciales para las redes corporativas.

Los datos de la plataforma de monitoreo de amenazas Shadowserver indican que, actualmente, hay más de 500.000 firewalls de SonicWall expuestos en línea y están distribuidos de la siguiente manera:

Los dispositivos SonicWall han recibido previamente ataques de Ransomware (HelloKitty y FiveHands). Un ejemplo ocurrió en marzo de 2023, cuando SonicWall PSIRT y Mandiant revelaron que, presuntos actores de amenazas chinos, instalaron malware personalizado en dispositivos SonicWall Secure Mobile Access (SMA) sin parches, como parte de campañas de ciberespionaje a largo plazo.

La amplia base de clientes de SonicWall incluye a más de 500.000 empresas distribuidas en más de 215 países, abarcando agencias gubernamentales y algunas de las compañías más grandes a nivel mundial.

Fuente:

Over 178K SonicWall firewalls vulnerable to DoS, potential RCE attacks