La empresa de ciberseguridad SonicWall ha advertido a sus clientes que varias vulnerabilidades que afectan sus dispositivos Secure Mobile Access (SMA) están siendo activamente explotadas en ataques.
El martes, SonicWall actualizó sus avisos de seguridad sobre las fallas CVE-2023-44221 y CVE-2024-38475, calificando ambas vulnerabilidades como «potencialmente explotadas en la naturaleza».
La vulnerabilidad CVE-2023-44221 se describe como una inyección de comandos de alta gravedad, causada por una neutralización incorrecta de elementos especiales en la interfaz de administración SSL-VPN de SMA100. Esto permite a atacantes con privilegios de administrador inyectar comandos arbitrarios como usuario ‘nobody’.
La segunda falla de seguridad, CVE-2024-38475, se clasifica como crítica y es causada por un escape incorrecto de salida en ‘mod_rewrite’ del servidor Apache HTTP versión 2.4.59 y anteriores. Una explotación exitosa permite a atacantes remotos no autenticados ejecutar código al mapear URLs con ubicaciones del sistema de archivos permitidas por el servidor.
Ambas vulnerabilidades afectan a los dispositivos SMA 200, SMA 210, SMA 400, SMA 410 y SMA 500v, y están corregidas en la versión de firmware 10.2.1.14-75sv y posteriores.
«Durante un análisis adicional, SonicWall y socios de seguridad confiables identificaron una técnica adicional de explotación utilizando la CVE-2024-38475, mediante la cual el acceso no autorizado a ciertos archivos podría permitir el secuestro de sesiones», advirtió SonicWall en un aviso actualizado.
«Además, SonicWall y sus socios identificaron que la vulnerabilidad ‘CVE-2023-44221 – Inyección de comandos del sistema operativo después de la autenticación’ está potencialmente siendo explotada en la naturaleza», añadió. «El PSIRT de SonicWall recomienda a los clientes revisar sus dispositivos SMA para asegurarse de que no haya inicios de sesión no autorizados.»
A principios de este mes, la compañía señaló otra vulnerabilidad de alta gravedad (CVE-2021-20035), corregida hace casi cuatro años, que está siendo activamente explotada en ataques de ejecución remota de código contra dispositivos VPN SMA100. Un día después, la empresa de ciberseguridad Arctic Wolf informó que la CVE-2021-20035 ha estado siendo explotada activamente al menos desde enero de 2025.
La CISA también agregó esta vulnerabilidad a su catálogo de Vulnerabilidades Conocidas Explotadas, ordenando a las agencias federales de EE. UU. que aseguren sus redes frente a los ataques en curso.
En enero, SonicWall instó a los administradores a corregir una falla crítica en las puertas de enlace de acceso seguro SMA1000 que estaba siendo explotada en ataques zero-day, y un mes después advirtió sobre una falla de omisión de autenticación activamente explotada en los firewalls Gen 6 y Gen 7 que permite a los hackers secuestrar sesiones VPN.
Apasionado de la ciberseguridad. Redactor para Revista VPN.
Advertencia: Es posible que recibamos comisiones de afiliados por productos y servicios recomendados, sin costo adicional para ti. Más información...
