Vulnerabilidades zero-day en SonicWall

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, alerta de la publicación de vulnerabilidades de tipo zero-day en productos SonicWall.

FireEye, a través de su unidad de respuesta a incidentes Mandiant, ha hecho público un informe en el que se notifican tres vulnerabilidades zero-day en productos SonicWall. Estos fallos fueron detectados en marzo de 2021 y permiten la ejecución de código de manera remota en los dispositivos. Los fallos descubiertos afectan a SonicWall Email Security, en sus versiones hardware, dispositivo virtual o instalación software sobre sistema operativo Windows. SonicWall Hosted Email Security también se vió afectado, pero fue parcheado el 19 de abril de 2021.

A continuación, se muestran los detalles técnicos de estos fallos con el CVE correspondiente:

  • CVE-2021-20021: la aplicación SonicWall Email Security permitiría autorizar una cuenta de administrador adicional sin requerir autenticación previa en el dispositivo.

    F1

  • CVE-2021-20022: el despliegue de un paquete de configuración para la personalización de la interfaz especialmente diseñado, permitiría a un atacante desplegar archivos en rutar arbitrarias del dispositivo.
  • CVE-2021-20023: esta vulnerabilidad permitiría la lectura arbitraria de ficheros del sistema.

La combinación de estas vulnerabilidades podría ser utilizada para:

  • Crear una nueva cuenta de administrador en el dispositivo SonicWall..
  • Desplegar una webshell en el dispositivo.
  • Obtener los hashes de las cuentas de administrador configuradas localmente.

Recursos afectados:

  • Versiones afectadas para sistemas operativos Windows:
    • Email Security (ES) versión 10.0.4.
    • Email Security versión 10.0.3.
    • Email Security versión 10.0.2.
    • Email Security versión 10.0.1.
  • Versiones afectadas para sistemas hardware y dispositivos virtuales ESXi:
    • Email Security (ES) versión 10.0.4.
    • Email Security versión 10.0.3.
    • Email Security versión 10.0.2.
    • Email Security versión 10.0.1.
  • Versiones afectadas para Hosted Email Security:
    • Email Security (ES) versión 10.0.4.
    • Email Security versión 10.0.3.
    • Email Security versión 10.0.2.
    • Email Security versión 10.0.1.

Solución a las vulnerabilidades:

SonicWall ha parcheado estos errores e insta a todos los clientes y socios que actualicen a las siguientes versiones:

  • Email Security 10.0.9.6173 para usuarios Windows.
  • Email Security 10.0.9.6177 para usuarios de hardware y dispositivos virtuales ESXi.
  • El producto SonicWall Hosted Email Security se actualizó automáticamente para todos los clientes y no es necesario realizar ninguna acción adicional para aplicar parches.

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas para solucionar esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas. Sin embargo, se recomienda monitorizar los siguientes indicadores en busca de evidencias de compromiso:

  • Procesos secundarios del proceso del servidor web «tomcat» en dispositivos SonicWall Email Security, en particular cmd.exe
  • Creación o existencia de webshells en un servidor que aloja SonicWall Email Security.

Además, es necesario revisar los registros y los archivos de configuración internos relacionados con SonicWall en busca de evidencias de actividad por parte de algún atacante:

  • Evidencias de solicitudes web maliciosas y sus valores pueden identificarse en el siguiente archivo de registro:
    • C: \ Archivos de programa\SonicWallES\logs\webUI\webui.json
  • Evidencias de modificaciones no autorizadas en los ajustes de configuración de SonicWall se puede confirmar en el siguiente archivo:
    • C: \Archivos de programa\SonicWallES\data\multi_accounts.xml
  • La existencia de Archivos zip relacionados con la marca en cualquiera de los subdirectorios del siguiente directorio:
    • C: \ Archivos de programa\SonicWallES\data\branding
  • Por último, la evidencia de archivos de cuenta de usuario adicionales que pueden haber sido creados en los siguientes directorios se puede confirmar en los siguientes archivos:
    • C: \Archivos de programa\SonicWallES\data\perhost
    • C: \Archivos de programa\SonicWallES\data\perldap
    • C: \Archivos de programa\SonicWallES\data\perou
Compartir el post:

Entradas relacionadas