CISA ha agregado una vulnerabilidad en la inyección de comandos de OS de Sonicwall SMA100, rastreado como CVE-2023-44221, a su catálogo de vulnerabilidad explotada (KEV) conocida.
Según la recomendación del 1 de mayo de 2025 de CISA, la vulnerabilidad se explota activamente en la naturaleza, plantea un riesgo significativo para las organizaciones que dependen de los electrodomésticos de acceso móvil seguro (SMA) de Sonicwall.
Vulnerabilidad de SonicWall SMA100-CVE-2023-44221
CVE-2023-444221 afecta la interfaz de administración SSL-VPN de los electrodomésticos de la serie SonicWall SMA100, permitiendo a los atacantes de autenticación remota con privilegios administrativos inyectar comandos arbitrarios como usuarios “de la OMS”.
Las vulnerabilidades se clasifican como CWE-78 (inyección de comando OS). Esto ocurre cuando el producto construye un sistema operativo que utiliza entradas afectadas externamente sin neutralizar adecuadamente elementos especiales.
Los productos de pared sónicos afectados incluyen versiones de firmware SMA 200, 210, 400, 410 y 500V hasta 10.2.1.9-57SV.
Según la base de datos de vulnerabilidad nacional, CVE-2023-44221 conlleva un puntaje base CVSS de 7.2 (alto), lo que refleja el impacto potencial en la confidencialidad, la integridad y la disponibilidad de los sistemas afectados.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para los actores cibernéticos maliciosos, plantean graves riesgos para las empresas federales”, dijo CISA en su aviso.
Los investigadores de seguridad de Arctic Wolf dicen: “El uso de una mala higiene de contraseña en las cuentas puede comprometer incluso dispositivos de firewall totalmente parcheados”.
Factores de riesgo Detalles AtextectectectExtectEdectEdwall SMA 200, 210, 400, 410, 500V El dispositivo (firmware ≤10.2.1.9-57SV) Los atacantes administrativos permiten que un atacante autenticado y privilegiado por el administrador inyecte cualquier comando del sistema operativo como un usuario “nadie” a través de la gestión de SSL-VPN. Puntuación 7.2 (alto)
Detalles de explotación
Aunque los detalles de cierta explotación siguen siendo limitados, la compañía de seguridad WatchToWr informó el 1 de mayo que “la base de clientes ha estado rumificando sobre los días salvajes y explotados de la pared sónica SMA (CVE-2023-44221, CVE-2024-38475) por un tiempo”.
En virtud de la Directiva de Operaciones vinculantes (BOD) 22-01, la Agencia Federal de la División de Control Civil (FCEB) debe arreglar las vulnerabilidades identificadas antes del 22 de mayo de 2025.
Aunque esta directiva se aplica solo a las agencias federales, CISA recomienda encarecidamente que todas las organizaciones prioricen las vulnerabilidades de parcheo en la lista de CVE como parte de sus prácticas de gestión de vulnerabilidades.
alivio
SonicWall ha lanzado un parche que aborda CVE-2023-44221 con las versiones 10.2.1.10-62SV o superior. Los expertos en seguridad recomiendan que las organizaciones implementen las siguientes medidas:
Actualice rápidamente a la última versión de firmware SMA100 y habilite la autenticación multifactorial para todas las cuentas que restablecen las contraseñas para todas las cuentas, especialmente todas las cuentas locales.
El catálogo de KEV sirve como una fuente autorizada de vulnerabilidad a través de la explotación salvaje salvada. Creado para beneficiar a los defensores de la comunidad y la red de ciberseguridad, las organizaciones pueden ayudar a administrar mejor las vulnerabilidades y responder a la actividad de amenazas.
Se alienta a las organizaciones a incorporar catálogos de KEV en su marco de priorización de gestión de vulnerabilidad para garantizar mejoras oportunas a las amenazas más importantes.
¿Eres de los equipos SOC y DFIR? -Inicie los incidentes de malware en tiempo real.
