São Paulo — InkDesign News — A CISA (Cybersecurity and Infrastructure Security Agency) adicionou duas vulnerabilidades antigas do SonicWall ao catálogo Known Exploited Vulnerabilities (KEV), destacando a atividade recente de ameaças que exploram falhas nos produtos de acesso remoto seguro da SonicWall.
Vetor de ataque
As vulnerabilidades, identificadas como CVE-2023-44221 e CVE-2024-38475, afetam os dispositivos SonicWall SMA 200, SMA 210, SMA 400, SMA 410 e SMA 500v. A CVE-2023-44221, com pontuação CVSS de 7.2, consiste em uma leitura arbitrária de arquivo pelo Apache HTTP antes da autenticação, enquanto a CVE-2024-38475, com CVSS 9.8, possibilita a injeção de comandos no sistema após a autenticação. Ambas podem ser exploradas remotamente para injetar comandos no sistema operacional e mapear URLs para localizações no sistema de arquivos, abrindo caminho para acesso indevido e manipulação.
Impacto e resposta
Embora patches para ambas as vulnerabilidades estejam disponíveis desde 2023 e 2024, respectivamente, a SonicWall atualizou seus advisories para indicar que essas falhas estão “potencialmente” sendo exploradas ativamente, o que pode permitir que invasores acessem arquivos ou sequestram sessões de usuários. A CISA destacou a necessidade de agilidade na aplicação das correções, fixando o prazo até 22 de maio para agências federais nos EUA.
“A SonicWall está pedindo aos seus clientes para revisar seus dispositivos SMA e garantir que não existam logins não autorizados em curso.
(“SonicWall is urging its customers to review their SMA devices to ensure that there are no current unauthorized logins.”)— SonicWall
Análise e recomendações
Pesquisadores do WatchTowr explicaram que a CVE-2023-44221 explora uma falha de leitura arbitrária de arquivo antes da autenticação no Apache HTTP, enquanto a CVE-2024-38475 permite execução remota de comandos após a autenticação, intensificando o risco. Relatos indicam que ataques em ambientes reais começaram a ser observados recentemente, reforçando a criticidade da mitigação.
“Nos últimos meses, nossa base de clientes nos reportou rumores de exploração no mundo real de sistemas SonicWall, e este tema tem recebido nossa atenção constante.”
(“Over the last few months, our client base has fed us rumours of in-the-wild exploitation of SonicWall systems, and thus, this topic has had our attention for a while.”)— Pesquisadores WatchTowr
Recomenda-se atualização imediata para as versões corrigidas indicadas pelos fabricantes, monitoramento de logs para atividades suspeitas e revisão de políticas de acesso remoto para minimizar o impacto de eventuais invasões.
Com o aumento de incidentes relacionados às falhas do SonicWall, espera-se que novas atualizações de segurança e alertas sejam divulgados, impactando fortemente o setor de cibersegurança e a gestão de dispositivos de acesso remoto.
Fonte: (Dark Reading – Segurança Cibernética)
