Los investigadores de seguridad advierten que los ciberdelincuentes están aprovechando una falla de seguridad de inyección SQL más antigua, conocido como CVE-2019-7481. La vulnerabilidad se encuentra en SonicWall Secure Remote Access (SRA) 4600 dispositivos que ejecutan versiones de firmware 8.xy 9.x.
CVE-2019-7481 utilizado actualmente en ataques contra organizaciones
La vulnerabilidad se utiliza en ataques contra varias organizaciones.. Según las investigaciones recientes de CrowdStrike, hay evidencia que indica una causa raíz a través del acceso VPN, sin el uso de técnicas de fuerza bruta. “Estas investigaciones tienen un denominador común: Todas las organizaciones utilizaron dispositivos VPN SonicWall SRA en ejecución 9.0.0.5 firmware," CrowdStrike dijo.
Los investigadores de CrowdStrike Intelligence confirmaron que CVE-2019-7481 afecta a los dispositivos SRA que ejecutan las últimas versiones de firmware 8.xy 9.x, y que las últimas versiones de Secure Mobile Access (escuela secundaria) firmware no mitiga el CVE para dispositivos SRA, la empresa de seguridad agregó.
La mayor dependencia de los dispositivos VPN ha llevado a varias organizaciones criminales a utilizar lagunas en la seguridad de estos dispositivos para violar las organizaciones.. Los ejemplos incluyen el grupo eCrime y varios actores del estado-nación. En relación con 2019 vulnerabilidad, el equipo de investigación ha identificado "caza mayor (BGH) actor de ransomwares ”explotando esta vulnerabilidad contra SonicWall SRA más antiguo 4600 Dispositivos VPN durante varias investigaciones de respuesta a incidentes.
Además, en febrero, El equipo de respuesta a incidentes de seguridad de productos de SonicWall anunció una nueva vulnerabilidad de día cero, CVE-2021-20016, impactando su SMA (Acceso móvil seguro) dispositivos. La vulnerabilidad recién descubierta afecta a la SMA 100 producto de la serie, y se requieren actualizaciones para las versiones que ejecutan firmware 10.x. “SonicWall no indicó si, ni cómo, este nuevo exploit afecta a los dispositivos SRA VPN más antiguos que aún se encuentran en entornos de producción.,"CrowdStrike señaló.
Según la descripción técnica oficial, CVE-2019-7481 es una vulnerabilidad en SonicWall SMA100 que podría permitir a un usuario no autenticado obtener acceso de solo lectura a recursos no autorizados.
CVE-2021-22893 Error de VPN seguro de pulso explotado en abril
En abril, otra VPN de día cero fue explotada activamente por los actores de amenazas. CVE-2021-22893 se clasifica como un día cero crítico en dispositivos Pulse Secure VPN, y ha sido explotado por piratas informáticos del estado-nación en ataques contra la defensa de EE. UU., finanzas, y objetivos gubernamentales. Se observaron ataques contra objetivos europeos, de acuerdo con un aviso de Pulse Secure. El día cero permitió ataques de ejecución remota de código con acceso de nivel de administrador a dispositivos vulnerables.