Defectos de día cero en la herramienta de seguridad de correo electrónico SonicWall …



Tres vulnerabilidades de día cero ayudaron a un atacante a instalar una puerta trasera, acceder a archivos y correos electrónicos y moverse lateralmente a una crimson objetivo.

SonicWall ha implementado parches para tres vulnerabilidades de día cero en sus herramientas de seguridad de correo electrónico e informa al menos una instancia conocida en la que estas fallas fueron explotadas en un ataque activo.

Las vulnerabilidades existen en SonicWall E mail Safety (ES), una herramienta de seguridad de correo electrónico creada para proteger los mensajes entrantes y salientes y defenderse de amenazas avanzadas como ransomware, spear-phishing y compromiso del correo electrónico empresarial. En una divulgación, SonicWall dice que los errores afectan tanto a sus productos de seguridad de correo electrónico alojados como locales.

Los investigadores de Mandiant, donde un equipo encontró las vulnerabilidades, dicen que los vulns se ejecutaron en conjunto para lograr acceso administrativo y ejecución de código en un dispositivo SonicWall ES.

«El adversario aprovechó estas vulnerabilidades, con un conocimiento profundo de la aplicación SonicWall, para instalar una puerta trasera, acceder a archivos y correos electrónicos y moverse lateralmente a la crimson de la organización víctima», dijeron Josh Fleischer, Chris DiGiamo y Alex Pennino en un informe.

De las tres vulnerabilidades, CVE-2021-20021 tiene la puntuación CVSS más alta, 9,4, y permite la creación de cuentas administrativas no autorizadas. Un atacante podría potencialmente crear una cuenta de administrador enviando una solicitud HTTP diseñada al host remoto, dice SonicWall. CVE-2021-20022 tiene una puntuación CVSS de 6,7 y permite la carga de archivos arbitrarios posteriores a la autenticación. CVE-2021-20023 también tiene una puntuación CVSS de 6,7 y permite la lectura de archivos arbitrarios posteriores a la autenticación, los investigadores informan en una reseña de sus hallazgos.

El mes pasado, Mandiant detectó actividad de shell world-wide-web posterior a la explotación en un sistema accesible por Net en un entorno de cliente. El sistema period una aplicación SonicWall ES que se ejecutaba en una instalación de Windows 2012, y se estaba proporcionando un shell world-wide-web a través del servidor world-wide-web Apache Tomcat habilitado para HTTPS incluido con SonicWall ES. Debido a que el shell net se entregó en el servidor world wide web incluido en la aplicación, sospecharon que el compromiso estaba vinculado a SonicWall ES.

El equipo de respuesta se enteró de que la instalación de SonicWall ES era 10..9, la última versión disponible, y no había vulnerabilidades conocidas ni ataques activos. Encontraron actividad posterior a la explotación destinada a eliminar evidencia en el sistema sin embargo, los archivos de registro adicionales y una instantánea del servidor les proporcionaron la evidencia que necesitaban para encontrar las vulnerabilidades.

Tanto los atacantes como la organización objetivo no están identificados, aunque Mandiant señala que el responsable está profundamente familiarizado con SonicWall ES, como lo indica el hecho de que borraron las últimas entradas de registro de nivel de aplicación registradas por la aplicación world wide web SonicWall ES.

Combinados, los tres exploits permitieron al atacante crear una nueva cuenta de administrador en el dispositivo SonicWall ES, exponer contraseñas hash para cuentas de administrador regional existentes, crear un shell internet en un directorio arbitrario y depurar el éxito y el fracaso de la explotación.

Mandiant reveló CVE-2021-20021 y CVE-2021-20022 al Equipo de respuesta a incidentes de seguridad de productos de SonicWall (PSIRT) el 26 de marzo de 2021. Tanto una revisión como un parche estuvieron disponibles el 9 de abril. Se reveló CVE-2021-20023 el 6 de abril, y se lanzó un parche el 19 de abril.

Todos los CVE afectan a SonicWall ES y a las versiones 10..1 y superiores de Hosted Electronic mail Safety. La compañía aconseja a los clientes y socios que actualicen a la revisión 10..9.6173 para usuarios de Windows y la revisión 10..9.6177 para usuarios de hardware y dispositivos virtuales ESXi. La herramienta SonicWall Hosted E mail Stability se actualizó automáticamente para todos los usuarios, por lo que no es necesario realizar ninguna acción adicional.

La compañía señala que las versiones 7..-9.2.2 de SonicWall ES también se ven afectadas sin embargo, estas son versiones heredadas y ya no son compatibles.

«SonicWall colabora habitualmente con investigadores externos y empresas de análisis forense para garantizar que nuestros productos cumplan o superen las mejores prácticas de seguridad», escribe la empresa en un comunicado en respuesta a las noticias de hoy. «Alienta fuertemente» a sus clientes y organizaciones globales a «mantener la diligencia en la administración de parches para fortalecer la postura de seguridad colectiva de la comunidad».

La noticia de hoy llega un día después de que la firma de computer software de TI Ivanti confirmara que los atacantes están explotando vulnerabilidades de alta gravedad, incluida una de día cero, en el dispositivo Pulse Join Protected VPN. Al igual que SonicWall, Ivanti también había estado trabajando con Mandiant, junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional y otras organizaciones para responder a las vulnerabilidades. Los datos de Mandiant apuntan a vínculos entre la actividad Pulse Protected y los atacantes vinculados a China.

CISA también ha emitió una alerta para informar a las organizaciones sobre las correcciones de SonicWall lanzadas recientemente.

Kelly Sheridan es la editora de particular de Darkish Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial