Vulnerabilidades zero-day en sonicwall (25/abril/2021)﷯ El Equipo de Respuesta de Incidentes de Seguridad de la Información EcuCERT, alerta sobre la publicación de vulnerabilidades de tipo zero-day en productos SonicWall. FireEye, a través de su unidad de respuesta a incidentes Mandiant, ha hecho público un informe en el que se notifican tres vulnerabilidades zero-day en productos SonicWall. Estos fallos fueron detectados en marzo de 2021 y permiten la ejecución de código de manera remota en los dispositivos. Los fallos descubiertos afectan a SonicWall Email Security, en sus versiones hardware, dispositivo virtual o instalación software sobre sistema operativo Windows. SonicWall Hosted Email Security también se vió afectado, pero fue parcheado el 19 de abril de 2021. A continuación, se muestran los detalles técnicos de estos fallos con el CVE correspondiente: • CVE-2021-20021: la aplicación SonicWall Email Security permitiría autorizar una cuenta de administrador adicional sin requerir autenticación previa en el dispositivo. Figura 1: creación cuenta administrador. • CVE-2021-20022: el despliegue de un paquete de configuración para la personalización de la interfaz especialmente diseñado, permitiría a un atacante desplegar archivos en rutar arbitrarias del dispositivo. • CVE-2021-20023: esta vulnerabilidad permitiría la lectura arbitraria de ficheros del sistema. La combinación de estas vulnerabilidades podría ser utilizada para: • Crear una nueva cuenta de administrador en el dispositivo SonicWall.. • Desplegar una webshell en el dispositivo. • Obtener los hashes de las cuentas de administrador configuradas localmente. Recursos afectados: • Versiones afectadas para sistemas operativos Windows: o Email Security (ES) versión 10.0.4. o Email Security versión 10.0.3. o Email Security versión 10.0.2. o Email Security versión 10.0.1. • Versiones afectadas para sistemas hardware y dispositivos virtuales ESXi: o Email Security (ES) versión 10.0.4. o Email Security versión 10.0.3. o Email Security versión 10.0.2. o Email Security versión 10.0.1. • Versiones afectadas para Hosted Email Security: o Email Security (ES) versión 10.0.4. o Email Security versión 10.0.3. o Email Security versión 10.0.2. o Email Security versión 10.0.1. Solución a las vulnerabilidades: SonicWall ha parcheado estos errores e insta a todos los usuarios que actualicen a las siguientes versiones: • Email Security 10.0.9.6173 para usuarios Windows. • Email Security 10.0.9.6177 para usuarios de hardware y dispositivos virtuales ESXi. • El producto SonicWall Hosted Email Security se actualizó automáticamente para todos los clientes y no es necesario realizar ninguna acción adicional para aplicar parches. Recomendaciones: El EcuCERT recomienda a los usuarios y administradores de sistemas afectados que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. Por el momento no se conocen medidas de mitigación alternativas para solucionar esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas. Sin embargo, se recomienda monitorizar los siguientes indicadores en busca de evidencias de compromiso: • Procesos secundarios del proceso del servidor web "tomcat" en dispositivos SonicWall Email Security, en particular cmd.exe • Creación o existencia de webshells en un servidor que aloja SonicWall Email Security. Además, es necesario revisar los registros y los archivos de configuración internos relacionados con SonicWall en busca de evidencias de actividad por parte de algún atacante: • Evidencias de solicitudes web maliciosas y sus valores pueden identificarse en el siguiente archivo de registro: o C: \ Archivos de programa\SonicWallES\logs\webUI\webui.json • Evidencias de modificaciones no autorizadas en los ajustes de configuración de SonicWall se puede confirmar en el siguiente archivo: o C: \Archivos de programa\SonicWallES\data\multi_accounts.xml • La existencia de Archivos zip relacionados con la marca en cualquiera de los subdirectorios del siguiente directorio: o C: \ Archivos de programa\SonicWallES\data\branding • Por último, la evidencia de archivos de cuenta de usuario adicionales que pueden haber sido creados en los siguientes directorios se puede confirmar en los siguientes archivos: o C: \Archivos de programa\SonicWallES\data\perhost o C: \Archivos de programa\SonicWallES\data\perldap o C: \Archivos de programa\SonicWallES\data\perou Referencias: • Josh Fleischer, Chris DiGiamo, Alex Pennino en colaboración con SonicWall PSIRT, Charles Carmakal, Ben Fedore, Geoff Ackerman and Andrew Thompson. (20 de abril de 2021). Recuperado 23 de abril de 2021. Obtenido de Zero-Day Exploits in SonicWall Email Security Lead to Enterprise Compromise. • SonicWall PSIRT. 09 de abril de 2021. Recuperado 23 de abril de 2021. Obtenido de SonicWall Email Security pre-authentication administrative account creation vulnerability. • SonicWall PSIRT. 09 de abril de 2021. Recuperado 23 de abril de 2021. Obtenido de SonicWall Email Security post-authentication arbitrary file creation vulnerability. • SonicWall PSIRT. 20 de abril de 2021. Recuperado 23 de abril de 2021. Obtenido de SonicWall Email Security post-authentication arbitrary file read vulnerability. • SonicWall. 20 de abril de 2021. Recuperado 23 de abril de 2021. Obtenido de Security Notice: SonicWall Email Security Zero-Day Vulnerabilities. • Eduard Kovacs, 21 de abril de 2021. Recuperado 23 de abril de 2021. Obtenido de Three Zero-Day Flaws in SonicWall Email Security Product Exploited in Attacks.
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo
Horario de atención: Lunes a Viernes 8:15 - 17:00

Copyright © 2017 EcuCERT