Sonicwall ha revelado que dos fallas de seguridad ahora parchadas que afectan sus electrodomésticos SMA100 Secure Mobile Access (SMA) han sido explotados en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación –
- CVE-2023-44221 (Puntuación CVSS: 7.2) – La neutralización inadecuada de elementos especiales en la interfaz SMA100 SSL -VPN Management permite a un atacante autenticado remoto con privilegio administrativo inyectar comandos arbitrarios como un usuario de ‘nadie’, lo que puede conducir a la vulnerabilidad de la inyección de OS de OS
- CVE-2024-38475 (Puntuación CVSS: 9.8) – Escapas de salida inadecuados en MOD_rewrite en Apache HTTP Server 2.4.59 y anterior permite a un atacante mapear URL a las ubicaciones del sistema de archivos que el servidor permiten ser atendidos por el servidor
Ambos fallas afectan a los dispositivos de la serie SMA 100, incluidos SMA 200, 210, 400, 410, 500V, y se abordaron en las siguientes versiones:
- CVE-2023-44221-10.2.1.10-62SV y versiones superiores (fijadas el 4 de diciembre de 2023)
- CVE-2024-38475-10.2.1.14-75SV y versiones superiores (fijadas el 4 de diciembre de 2024)
En una actualización de los avisos el 29 de abril de 2025, SonicWall dijo que las vulnerabilidades se están explotando en la naturaleza, instando a los clientes a revisar sus dispositivos SMA para garantizar que no haya inicios de sesión no autorizados.
«Durante el análisis posterior, SonicWall y los socios de seguridad de confianza identificaron una técnica de explotación adicional utilizando CVE-2024-38475, a través del cual el acceso no autorizado a ciertos archivos podría habilitar el secuestro de sesiones», dijo la compañía.
Actualmente no hay detalles sobre cómo se están explotando las vulnerabilidades, quién puede haber sido atacado y el alcance y la escala de estos ataques.
Las divulgaciones se producen semanas después de la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregaron otra falla de seguridad que impacta las puertas de enlace de la serie SonicWall SMA 100 (CVE-2021-20035, CVSS SCUENT: 7.2) a sus conocidos catálogo de vulnerabilidades explotadas (KEV), basadas en evidencia de la explotación activa.
POC disponible
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el 1 de mayo de 2025, agregó ambos fallas a su catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que exige a las agencias federales que apliquen los parches antes del 22 de mayo de 2025.
La compañía de seguridad cibernética WatchToWr Labs ha publicado detalles técnicos adicionales de las dos vulnerabilidades, señalando cómo CVE-2024-38475, una falla que reside en el servidor Apache HTTP, puede usarse para evitar la autenticación y obtener el control administrativo sobre los electrodomésticos de Sonicwall SMA vulnerables.
CVE-2023-44221, por otro lado, se ha descrito como una vulnerabilidad de inyección de comandos posteriores a la autorización que afecta el menú de diagnóstico de la interfaz de gestión de SMA de Sonicwall.
Esto también significa que las dos deficiencias probablemente están siendo encadenadas por los actores de amenaza para que filtren un token de sesión de administrador actualmente iniciado y ejecute comandos arbitrarios. Aquí se puede acceder a una prueba de concepto (POC) para la cadena de exploits.
«Desafortunadamente, la explotación de estas vulnerabilidades ha estado en curso durante algún tiempo, con los atacantes explotando con éxito electrodomésticos para obtener acceso a organizaciones extremadamente sensibles», dijo el CEO de Watchtowr, Benjamin Harris, en un comunicado.
«Estas son vulnerabilidades relativamente triviales. CVE-2024-38475 es una vulnerabilidad en el servidor web HTTP de código abierto y es un módulo MOD_rewrite, mientras que CVE-2023-44221 es una falla de inyección de comandos simple que es decepcionante ver en cualquier solución empresarial».
(La historia se ha actualizado después de la publicación para incluir detalles de la exploit de POC).