Especialistas en análisis de vulnerabilidades reportan el hallazgo de una vulnerabilidad crítica en las soluciones de firewall de la compañía de hardware y software Sophos. De ser explotada, esta falla podría brindar a un actor de amenazas acceso a la red interna de una compañía sin tener que ingresar credenciales de acceso.
Acorde a los reportes, todas las implementaciones de Sophos Cyberoam Firewall que ejecutan CyberoamOS (CROS) versión 10.6.6 MR-5 y anteriores son afectadas por la vulnerabilidad. “Acorde a los parámetros de tiempo y confidencialidad establecidos en la comunidad, recibimos el reporte elaborado por un investigador de seguridad externo”, menciona un comunicado de la compañía.
Posteriormente, el reporte de la compañía menciona: “La vulnerabilidad podría ser explotada enviando una solicitud maliciosa a las consolas Web Admin o SSL VPN, brindando a un atacante remoto no autenticado la posibilidad de ejecutar comandos arbitrarios”.
En resumen, los expertos en análisis de vulnerabilidades mencionan que esta es una falla de inyección de shell que permite a los hackers obtener permisos de usuario root en un sistema vulnerable, además es explotable a través de Internet. La compañía agradeció al especialista en seguridad Rob Mardisalu por enviar el reporte de la vulnerabilidad, identificada como CVE-2019-17059. El experto también compartió el reporte con algunas plataformas especializadas en ciberseguridad, como Tedcrunch.
“La vulnerabilidad permite a los hackers acceder a un dispositivo Cyberoam sin ingresar nombres de usuario o contraseñas, además otorga acceso root, brindando al atacante control completo del dispositivo”, menciona el reporte de Mardisalu.
Respecto a Cyberoam, el producto de Sophos expuesto, es una solución de firewall utilizada en grandes compañías que ofrece servicios como inspección minuciosa de paquetes en redes, aplicaciones y funciones de identidad de usuario. Entre algunas de las amenazas que Cyberoam ayuda a mitigar se encuentran los ataques de denegación de servicio (DoS) y campañas de spoofing.
El experto en análisis de vulnerabilidades que descubrió la falla brindó algunos detalles sobre su investigación, mencionando que, a través del motor de búsqueda Shodan, detectó más de 96 mil dispositivos Cyberoam conectados a Internet en todo el mundo, funcionando principalmente en universidades, bancos y compañías privadas. Además mencionó que esta vulnerabilidad es realmente similar a otras fallas recientemente descubiertas en compañías de servicios de red privada virtual (VPN) como Fortinet o Palo Alto Networks.
“CVE-2019-17059 es una vulnerabilidad similar a las descubiertas en los proveedores de VPN corporativo, pues también permite a los hackers obtener acceso a una red sin necesidad de usar una contraseña”, agregó Mardisalu. Según se ha mencionado, estas vulnerabilidades incluso llegaron a afectar a grandes compañías como Uber y Twitter; incluso Seguridad Nacional emitió una alerta de seguridad.
La compañía ya ha anunciado la corrección de esta falla en su próxima actualización de sistema operativo. Aunque se ha lanzado un parche, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) afirman que aún quedan algunos dispositivos vulnerables, principalmente porque sus administradores han inhabilitado las actualizaciones automáticas, por lo que recomiendan revisar la configuración de su implementación y actualizar manualmente en caso de ser necesario.