La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el miércoles un defecto de seguridad que impacta las puertas de entrada de 100 series de acceso móvil SonicWall Secure Mobile Access (SMA) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basado en evidencia de explotación activa.
La vulnerabilidad de alta severidad, rastreada como CVE-2021-20035 (puntaje CVSS: 7.2), se relaciona con un caso de inyección de comandos del sistema operativo que podría resultar en la ejecución del código.
«La neutralización inadecuada de elementos especiales en la interfaz de administración SMA100 permite que un atacante autenticado remoto inyecte comandos arbitrarios como un usuario de ‘nadie’, lo que podría conducir a la ejecución del código», dijo Sonicwall en un asesor publicado en septiembre de 2021.
El defecto impacta SMA 200, SMA 210, SMA 400, SMA 410 y SMA 500V (ESX, KVM, AWS, Azure) dispositivos que ejecutan las siguientes versiones –
- 10.2.1.0-17SV y anterior (fijado en 10.2.1.1-19SV y superior)
- 10.2.0.7-34sv y anterior (fijado en 10.2.0.8-37SV y superior)
- 9.0.0.10-28SV y anterior (fijado en 9.0.0.11-31SV y superior)
Si bien los detalles exactos que rodean la explotación de CVE-2021-20035 son actualmente desconocidos, Sonicwall ha revisado el boletín para reconocer que «esta vulnerabilidad se está explotando en la naturaleza».
Las agencias federales de rama ejecutiva civil (FCEB) deben aplicar las mitigaciones necesarias antes del 7 de mayo de 2025 para asegurar sus redes contra las amenazas activas.
Actualizar
Arctic Wolf, en un informe publicado esta semana, dijo que ha estado rastreando una campaña dirigida al acceso de credenciales de VPN en dispositivos SMA Sonicwall desde enero de 2025. Se sospecha que la actividad está relacionada con la explotación de CVE-2021-20035.
«Un aspecto notable de la campaña fue el uso de una cuenta súper administrativa local (admin@localdomain) en estos electrodomésticos, que tiene una contraseña insegura predeterminada de ‘contraseña'», dijo el investigador de seguridad Andrés Ramos. «Es importante tener en cuenta que incluso los dispositivos de firewall totalmente parcheados aún pueden comprometerse si las cuentas usan una higiene de contraseña deficiente».
«Cuando las cuentas en los firewalls se comprometen de forma independiente, las vulnerabilidades como CVE-2021-20035 se pueden usar en conjunto para establecer la persistencia y ampliar el alcance de los ataques».
(La historia se actualizó después de la publicación para incluir ideas de Arctic Wolf).