SonicWall en Alerta Máxima
SonicWall instó a sus clientes del software de gestión de cortafuegos Global Management System (GMS) y del motor de informes de red Analytics el miércoles a aplicar las últimas correcciones para protegerse contra un conjunto de 15 fallas de seguridad que podrían ser explotadas por un actor de amenazas para eludir la autenticación y acceder a información sensible.
Evaluación de las Vulnerabilidades
De las 15 deficiencias, que se rastrean desde CVE-2023-34123 hasta CVE-2023-34137, cuatro se califican como Críticas, cuatro como Altas y siete como Medias en severidad. Estas vulnerabilidades fueron reveladas por NCC Group y afectan a las versiones locales de GMS 9.3.2-SP1 y anteriores, y Analytics 2.5.0.4-R7 y anteriores. Sin embargo, las correcciones están disponibles en las versiones GMS 9.3.3 y Analytics 2.5.2.
Detalles de las Vulnerabilidades Críticas
SonicWall explicó que «este conjunto de vulnerabilidades permite a un atacante ver datos a los que normalmente no puede acceder». Estos datos podrían incluir información perteneciente a otros usuarios o cualquier otro dato al que la aplicación en sí pueda acceder. En muchos casos, un atacante puede modificar o eliminar estos datos, causando cambios persistentes en el contenido o comportamiento de la aplicación».
Las cuatro fallas críticas identificadas son las siguientes:
Otras Alertas de Seguridad
La divulgación llega al mismo tiempo que Fortinet reveló una falla crítica que afecta a FortiOS y FortiProxy (CVE-2023-33308, puntuación CVSS: 9.8) que podría permitir a un adversario ejecutar código remoto bajo ciertas circunstancias. Esta vulnerabilidad ya se ha resuelto en una versión anterior, sin un aviso.
