Una vulnerabilidad de ejecución remota de código (RCE) que afecta a dispositivos SonicWall Secure Mobile Access (SMA) ha estado siendo explotada activamente desde al menos enero de 2025, según la empresa de ciberseguridad Arctic Wolf.
La falla de seguridad, identificada como CVE-2021-20035, afecta a los dispositivos SMA 200, 210, 400, 410 y 500v y fue parchada originalmente en septiembre de 2021.
En ese momento, SonicWall señaló que solo podía ser explotada para realizar ataques de denegación de servicio (DoS).
Nueva gravedad y explotación activa
Esta semana, SonicWall actualizó su boletín de seguridad original para:
- Confirmar que la vulnerabilidad está siendo explotada activamente.
- Aumentar la gravedad CVSS de media a alta (7.2).
- Confirmar que ahora permite ejecución remota de código (RCE).
La explotación permite a atacantes remotos, con pocos privilegios, inyectar comandos arbitrarios como el usuario nobody a través de la interfaz de gestión de los dispositivos SMA100, en ataques de baja complejidad.
Reacción de CISA
La agencia estadounidense CISA añadió la vulnerabilidad al catálogo de vulnerabilidades explotadas conocidas (KEV) y exigió a todas las agencias federales civiles que mitiguen el riesgo antes del 7 de mayo de 2025.
Versiones afectadas y correcciones
| Producto | Plataforma | Versión vulnerable | Versión corregida |
|---|---|---|---|
| SMA 100 Series | SMA 200, 210, 400, 410, 500v (ESX, KVM, AWS, Azure) | 10.2.1.0-17sv y anteriores | 10.2.1.1-19sv y posteriores |
| 10.2.0.7-34sv y anteriores | 10.2.0.8-37sv y posteriores | ||
| 9.0.0.10-28sv y anteriores | 9.0.0.11-31sv y posteriores |
Campaña desde enero con credenciales por defecto ️♂️
Arctic Wolf reveló que los ataques comenzaron en enero de 2025 y se extendieron hasta abril, y que los atacantes incluso usaron una cuenta de superadmin local con contraseña por defecto: admin@LocalDomain → contraseña: password.
Recomendaciones de seguridad ️
Para mitigar los riesgos asociados a CVE-2021-20035, se recomienda:
- Restringir el acceso VPN a cuentas estrictamente necesarias.
- Eliminar cuentas no utilizadas.
- Activar autenticación multifactor (MFA) para todas las cuentas.
- Cambiar las contraseñas de todas las cuentas locales.