SonicWall ha revelado que una falla de seguridad crítica recientemente parcheada que afecta a SonicOS puede haber sido explotada activamente, por lo que es esencial que los usuarios apliquen los parches lo antes posible.
La vulnerabilidad, identificada como CVE-2024-40766, tiene una puntuación CVSS de 9,3 sobre un máximo de 10.
«Se ha identificado una vulnerabilidad de control de acceso inadecuado en el acceso de administración de SonicWall SonicOS y SSLVPN, lo que podría provocar un acceso no autorizado a recursos y, en condiciones específicas, provocar el bloqueo del firewall», dijo SonicWall en un aviso actualizado.
Con el último avance, la empresa ha revelado que CVE-2024-40766 también afecta a la función SSLVPN del firewall. El problema se ha solucionado en las siguientes versiones:
- SOHO (cortafuegos de quinta generación): 5.9.2.14-13o
- Firewalls Gen 6: 6.5.2.8-2n (para SM9800, NSsp 12400 y NSsp 12800) y 6.5.4.15.116n (para otros dispositivos Firewall Gen 6)
El proveedor de seguridad de red ha actualizado desde entonces el boletín para reflejar la posibilidad de que haya sido explotado activamente.
«Esta vulnerabilidad está siendo potencialmente explotada en la naturaleza», dijo. agregado«Aplique el parche lo antes posible en los productos afectados».
Como mitigación temporal, se recomienda restringir la administración del firewall a fuentes confiables o deshabilitar la administración de WAN del firewall desde el acceso a Internet. Para SSLVPN, se recomienda limitar el acceso a fuentes confiables o deshabilitar el acceso a Internet por completo.
Las mitigaciones adicionales incluyen habilitar la autenticación multifactor (MFA) para todos los usuarios de SSLVPN que usan contraseñas de un solo uso (OTP) y recomendar a los clientes que usan firewalls GEN5 y GEN6 con usuarios de SSLVPN que tienen cuentas administradas localmente que actualicen inmediatamente sus contraseñas para evitar el acceso no autorizado.
Actualmente no hay detalles sobre cómo la falla puede haber sido utilizada como arma, pero los actores de amenazas chinos, en el pasado, han eliminado los parches de los dispositivos SonicWall Secure Mobile Access (SMA) 100 para establecer una persistencia a largo plazo.