ISGroup Consultoría de Ciberseguridad

Vulnerabilidad crítica de lectura arbitraria de archivos pre-autenticación en dispositivos SonicWall SMA serie 100

Se ha identificado una grave vulnerabilidad de seguridad en los dispositivos SonicWall Secure Mobile Access (SMA) serie 100. Esta vulnerabilidad, catalogada como CVE-2024-38475, permite a individuos no autorizados acceder de forma remota a archivos confidenciales almacenados en los dispositivos afectados sin necesidad de credenciales de acceso. La explotación exitosa puede conducir a la exposición de datos confidenciales, con la posibilidad de que los atacantes obtengan un mayor control sobre el sistema o la red protegida. Se sabe que esta vulnerabilidad está siendo explotada activamente en la naturaleza.

ProductoSonicWall SMA
Fecha28-05-2025 13:17:37
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

CVE-2024-38475 es una vulnerabilidad de lectura arbitraria de archivos pre-autenticación que afecta a los dispositivos SonicWall SMA serie 100. La causa principal reside en un defecto subyacente dentro del módulo mod_rewrite del servidor Apache HTTP (versiones 2.4.59 y anteriores), utilizado por los dispositivos SonicWall.

  • Tipo de vulnerabilidad: Codificación o escape inadecuado de la salida en mod_rewrite (CWE-116), que conduce a la lectura arbitraria de archivos.
  • Mecanismo: El módulo mod_rewrite de Apache no logra sanear correctamente la salida cuando se procesan reglas de reescritura específicas (sustituciones en el contexto del servidor utilizando referencias o variables como primer segmento). Un atacante no autenticado puede enviar una solicitud HTTP GET especialmente construida al dispositivo objetivo. La URL en esta solicitud es manipulada (por ejemplo, TARGET_FILE%3fMALICIOUS_SUFFIX.EXT, donde %3f es un ? codificado en URL) para inducir a mod_rewrite a mapear la solicitud a un archivo arbitrario en el sistema de archivos del servidor.
    • Por ejemplo, una solicitud como GET /tmp/temp.db%3f.1.1.1.1a-1.css puede permitir a un atacante descargar el archivo /tmp/temp.db.

  • Impacto: Los atacantes pueden leer archivos confidenciales, incluidos bases de datos de sesión (por ejemplo, temp.db que contiene ID de sesión, tokens CSRF, nombres de usuario y campos de contraseña), archivos de configuración, archivos de registro y potencialmente el código fuente de las aplicaciones. Esta divulgación de información puede ser explotada para obtener acceso no autorizado adicional o para elevar privilegios, lo que potencialmente conduce a la ejecución remota de código (RCE) como parte de un ataque encadenado.

Recomendaciones

Debido a la naturaleza crítica y la explotación activa de esta vulnerabilidad, se recomienda encarecidamente adoptar las siguientes medidas:

  1. Aplicar parches de inmediato: Aplique lo antes posible los parches de seguridad y las actualizaciones de firmware proporcionados por SonicWall para los dispositivos SMA serie 100. Consulte los avisos de seguridad de SonicWall para conocer las versiones específicas parcheadas.
  2. Limitar el acceso: Si no es posible aplicar el parche inmediatamente, limite el acceso de red a la interfaz de gestión del dispositivo SMA. Permita las conexiones solo desde direcciones IP y redes de confianza.
  3. Monitorear los registros: Examine los registros del servidor web en los dispositivos SMA para detectar cualquier solicitud sospechosa que coincida con el patrón de la explotación (por ejemplo, URL que contengan secuencias inusuales como %3f seguidas de extensiones o cadenas de caracteres inesperadas).
  4. Web Application Firewall (WAF): Como medida de defensa estratificada, considere la implementación de reglas WAF para bloquear o señalar las solicitudes que presenten patrones asociados a esta explotación. Sin embargo, esto no debe sustituir la aplicación de los parches.

[Callforaction-THREAT-Footer]

In