Una vulnerabilidad crítica de omisión de autenticación en los firewalls de SonicWall, rastreada como CVE-2024-53704, ahora está siendo explotada activamente en la naturaleza, advierten las empresas de ciberseguridad.
El aumento de los ataques se produce tras la publicación pública del código de explotación de prueba de concepto (PoC) el 10 de febrero de 2025 por parte de investigadores de Bishop Fox, lo que amplifica los riesgos para las organizaciones con dispositivos sin parches.
CVE-2024-53704, con una calificación de 9,3 en la escala CVSS, reside en el mecanismo de autenticación SSL VPN de SonicOS, el sistema operativo que alimenta los firewalls Gen 6, Gen 7 y TZ80 de SonicWall.
Los atacantes pueden secuestrar de forma remota sesiones VPN activas enviando una cookie de sesión diseñada que contiene una cadena de bytes nulos codificada en base64 al punto final /cgi-bin/sslvpnclient.
La explotación exitosa evita la autenticación multifactor (MFA), expone rutas de redes privadas y permite el acceso no autorizado a recursos internos. Las sesiones comprometidas también permiten a los actores de amenazas finalizar conexiones de usuarios legítimos.
SonicWall reveló inicialmente la falla el 7 de enero de 2025, instando a un parche inmediato. En ese momento, el vendedor no informó ninguna evidencia de explotación en la naturaleza.
CVE-2024-53704 Explotado en estado salvaje
Sin embargo, la publicación PoC del obispo Fox del 10 de febrero redujo la barrera de entrada para los atacantes. El 12 de febrero, Arctic Wolf observó intentos de explotación originados en menos de diez direcciones IP distintas, alojadas principalmente en servidores privados virtuales (VPS).
Los analistas de seguridad atribuyen la rápida utilización de armas al impacto crítico de la vulnerabilidad y al ataque histórico a los dispositivos SonicWall por parte de grupos de ransomware como Akira y Fog.
Hasta el 7 de febrero, más de 4.500 servidores VPN SSL de SonicWall expuestos a Internet seguían sin parchear, según Bishop Fox. Las versiones de firmware afectadas incluyen:
- SonicOS 7.1.x (up to 7.1.1-7058)
- SonicOS 7.1.2-7019
- SonicOS 8.0.0-8035
Las versiones parcheadas, como SonicOS 8.0.0-8037 y 7.1.3-7015, se lanzaron en enero de 2025.
El patrón de explotación refleja campañas anteriores. A finales de 2024, los afiliados del ransomware Akira aprovecharon cuentas VPN de SonicWall comprometidas para infiltrarse en las redes, a menudo cifrando datos a las pocas horas del acceso inicial.
Arctic Wolf advierte que CVE-2024-53704 también podría servir como puerta de entrada para la implementación de ransomware, el robo de credenciales o el espionaje.
SonicWall y las agencias de ciberseguridad enfatizan la acción urgente:
- Actualice el firmware a versiones fijas (por ejemplo, 8.0.0-8037 o 7.1.3-7015).
- Deshabilite SSL VPN en interfaces públicas si no es posible aplicar parches de inmediato.
- Restrinja el acceso VPN a rangos de IP confiables y aplique MFA para los usuarios restantes.
Con la explotación activa en marcha, las organizaciones deben priorizar la aplicación de parches para mitigar los riesgos. La convergencia del código PoC público, la alta viabilidad de los ataques y la prominencia de SonicWall en las redes empresariales subraya la urgencia. Como advierte Arctic Wolf, los retrasos corren el riesgo de «comprometer catastróficamente la red» dada la gravedad de la vulnerabilidad y la agilidad de los actores del ransomware.
