Una nueva cadena de ataque crítica llamada “Sonicboom” permite a los atacantes remotos evitar la autenticación y confiscar la administración administrativa de los electrodomésticos empresariales como SonicWall Secure Mobile Access (SMA) y CommVault Backup Solutions.
Esta sofisticada exploits de varias etapas aprovecha una combinación de vulnerabilidades previas a la autorización, redacción de archivos arbitrarios y falsificación de solicitudes del lado del servidor (SSRF) para lograr un compromiso completo del sistema.
Cadena de ataque de sonicboom
WatchToWr informa que la cadena Sonicboom está explotando fallas en los mecanismos de autenticación y manejo de archivos del aparato objetivo. Típicamente, el proceso se desarrolla en varias etapas.
Etapa 1: la autenticación se deriva a través de puntos finales expuestos
El atacante primero identificará los puntos finales que fueron excluidos de la verificación de autenticación. Por ejemplo, en la versión local de CommVault, el archivo Authskiprules.xml se enumera más allá de más de 50 puntos finales a los que se puede acceder sin credenciales válidas (como implementWebpackage.do y implementServiceCommcell.do).
Esto permite a los usuarios no certificados interactuar directamente con funciones de backend confidenciales.
Etapa 2: falsificación de solicitud del lado del servidor (SSRF) y escritura de archivos opcional
Al enviar solicitudes de publicación creadas a puntos finales como /commandcenter/DeployWebpackage.do, un atacante puede manipular parámetros como CommCellName y ServicePack para obligar al dispositivo a obtener archivos del servidor de control del atacante.
El código vulnerable concatena estos parámetros a las URL y las rutas de archivo sin la desinfección adecuada, lo que permite ataques transversales SSRF y PATH.
El dispositivo descarga un archivo zip del servidor del atacante, escribe su contenido y lo extrae en un directorio al que el servidor web puede acceder. Esta zip generalmente contiene un shell web malicioso .jsp.
Etapa 3: Ejecución de código remoto (RCE) y acceso al administrador
Una vez que se presenta un archivo malicioso, un atacante puede activarlo a través de una solicitud HTTP directa, logrando la ejecución del código remoto como una cuenta de servicio privilegiada.
Esto brinda acceso administrativo completo, lo que permite a los atacantes instalar programas, filtrar datos y pivotar más dentro de la red.
La causa subyacente es la verificación de entrada inadecuada y la aplicación inadecuada de la autenticación. Por ejemplo, en Commvault, los métodos de Java vulnerables son:
Este ataque se acelera aún más por el recorrido de la ruta del parámetro ServicePack, lo que permite la escritura no deseada en los directorios.
Sistemas y reparaciones afectados
CommVault: las versiones 11.38.0 a 11.38.19 son vulnerables. Parches de 11.38.20 o más tarde.
Sonicwall SMA: múltiples CVE, incluidos CVE-2025-23006 y CVE-2024-38475, se han explotado en la naturaleza, lo que permite la ejecución de código remoto antes de la autenticación y la adquisición de administradores.
El proveedor ha lanzado parches para las versiones afectadas. Se alienta a la organización a:
Actualice inmediatamente todos los electrodomésticos a la última versión. Auditar archivos incorrectos o sesiones de gestión sospechosas. Monitorea registros para los intentos de explotación en puntos finales vulnerables conocidos.
La cadena de ataque de Sonicboom ejemplifica los riesgos planteados por las brechas de autenticación pasadas por alto y el manejo de archivos inestables en los electrodomésticos empresariales. Cuando se informa la explotación activa, la remediación inmediata es importante para prevenir violaciones catastróficas y pérdida de datos.
¡Haz que esta noticia sea interesante! Siga en Google News, LinkedIn, X para obtener actualizaciones instantáneas
