Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Explotan vulnerabilidad 0-day de SonicWall SMA1000


SonicWall ha revelado dos vulnerabilidades en sus dispositivos de acceso remoto SMA1000 Series. Una de ellas, el fallo CVE-2026-15409, es un error crítico de falsificación de solicitud del lado del servidor (SSRF) con una puntuación máxima de 10.0 en la escala CVSS y ya estaba siendo explotada por atacantes antes de que se hiciera pública la advertencia. Además, se identificó la vulnerabilidad CVE-2026-15410, un fallo de severidad alta relacionado con la escalada de privilegios locales.



SonicWall reveló dos vulnerabilidades que afectan a sus dispositivos de acceso remoto de la serie SMA1000, y los actores de amenazas ya estaban explotando una de ellas antes incluso de que el aviso se hiciera público.

Los fallos incluyen un error crítico de falsificación de solicitudes del lado del servidor (SSRF), CVE-2026-15409, con una puntuación perfecta de 10.0 en la escala CVSS, y un fallo de escalada de privilegios locales de severidad alta, CVE-2026-15410. Ambos han sido añadidos al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, lo que confirma ataques activos en el mundo real.

La cadena de explotación comienza en /wsproxy, una función de proxy de websocket en la aplicación SonicWall WorkPlace (servida a través del puerto 443). Esta función está diseñada para tunelizar el tráfico TCP hacia hosts remotos, pero los atacantes pueden dirigirla hacia localhost, permitiéndoles llegar a servicios internos del dispositivo que nunca debieron estar expuestos a internet.

Desde allí, los atacantes apuntan a un proceso Erlang que escucha en el puerto 1050. La investigación de Rapid7 encontró que este proceso utiliza una cookie de autenticación embebida (hardcoded), lo que significa que no se necesitan credenciales para lograr la ejecución remota de código.

Vulnerabilidad 0-Day de SonicWall SMA1000

Una vez dentro, los atacantes escalan a un acceso root completo abusando de CVE-2026-15410, un fallo de salto de directorio (path traversal) en el flujo de trabajo de remove_hotfix. Al introducir una ruta de archivo maliciosa (como ../../../../var/tmp/privesc) en el proceso de eliminación del hotfix, el sistema ejecuta scripts controlados por el atacante como root, generalmente seguido de un reinicio automático del dispositivo.

Las vulnerabilidades afectan a los modelos 6210, 7210 y 8200v de la serie SMA1000 que ejecutan varias versiones de firmware, incluyendo la 12.4.3-03434 y la 12.5.0-02800. Cabe destacar que la funcionalidad SSL VPN de los firewalls de SonicWall y la serie SMA 100 no están afectadas.

El equipo de investigación de Rapid7 observó que los atacantes utilizaban los dispositivos comprometidos como puntos de entrada sigilosos a las redes corporativas. Tras ganar acceso, los actores de amenazas recolectaban credenciales, datos de sesión y semillas de MFA TOTP, para luego pivotar directamente hacia entornos de Active Directory.

Los investigadores detectaron patrones de inicio de sesión inusuales, incluyendo autenticaciones desde nombres de dispositivos no corporativos como “kali”, originándose desde el propio dispositivo sin ninguna sesión de VPN activa, una señal clara de que el aparato se había convertido en una puerta trasera no monitoreada.

Consejos para Defensores

  • Parchea inmediatamente a las versiones corregidas 12.4.3-03453 o 12.5.0-02835 (o posteriores); no existen soluciones alternativas.
  • Asume que hay un compromiso si encuentras indicadores, y sigue la guía de recuperación y forense de SonicWall.
  • Revisa los registros en busca de solicitudes sospechosas de /wsproxy, llamadas inusuales a remove_hotfix e inicios de sesión NTLM inesperados desde la IP interna del dispositivo.
  • Restablece las contraseñas y los tokens TOTP para todos los usuarios tras cualquier compromiso confirmado.
  • Considera bloquear el tráfico del ASN 206092 (FNS Holdings Limited), vinculado a la infraestructura de atacantes observada.

Ya circula una prueba de concepto pública para CVE-2026-15409, y se informa que hay un módulo de Metasploit en desarrollo, lo que significa que es probable que los intentos de explotación aumenten.

Dado el impacto a nivel de root y sin autenticación de esta cadena, las organizaciones que utilicen dispositivos SMA1000 deben tratar el parcheo como una emergencia, no como un ciclo de actualización rutinario.

IOCs

Tipo de IndicadorValorContexto
Rango de IP45.131.194.0/24Infraestructura de alojamiento VPN controlada por el atacante
Rango de IP45.146.54.0/24Infraestructura de alojamiento VPN controlada por el atacante
Rango de IP63.135.161.0/24Infraestructura de alojamiento VPN controlada por el atacante
Rango de IP173.239.211.0/24Infraestructura de alojamiento VPN controlada por el atacante
Dirección IP193.37.32[.]179Infraestructura de alojamiento VPN controlada por el atacante
Dirección IP193.37.32[.]214Infraestructura de alojamiento VPN controlada por el atacante
Dirección IP216.73.163[.]151Infraestructura de alojamiento VPN controlada por el atacante
Dirección IP216.73.163[.]158Infraestructura de alojamiento VPN controlada por el atacante


Fuentes:
https://cybersecuritynews.com/sonicwall-sma1000-0-day-vulnerability-2/


0 comments :

Post a Comment

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.