SonicWall ha advertido a los clientes que desactiven los servicios SSLVPN debido a que bandas de ransomware potencialmente explotan una vulnerabilidad de seguridad desconocida en los firewalls SonicWall Gen 7 para violar las redes durante las últimas semanas.
La advertencia llega después de Arctic Wolf Labs reportado el viernes que había observado múltiples ataques de ransomware Akira, probablemente utilizando una vulnerabilidad de día cero de SonicWall, desde el 15 de julio.
“Los métodos de acceso iniciales aún no han sido confirmados en esta campaña”, dijeron los investigadores de Arctic Wolf Labs. Si bien la existencia de una vulnerabilidad de día cero es altamente plausible, el acceso a credenciales mediante fuerza bruta, ataques de diccionario y manipulación de credenciales aún no se ha descartado definitivamente en todos los casos
Arctic Wolf también aconsejó el viernes a los administradores de SonicWall que desactivaran temporalmente los servicios VPN SSL de SonicWall debido a la gran posibilidad de que se estuviera explotando una vulnerabilidad de día cero de SonicWall en estos ataques.
Empresa de ciberseguridad Huntress también lo ha confirmado Los hallazgos de Arctic Wolf se publicaron el lunes y se publicó un informe que proporciona indicadores de compromiso (IOC) recopilados durante la investigación de esta campaña.
“Una probable vulnerabilidad de día cero en las VPN de SonicWall se está explotando activamente para eludir la MFA e implementar ransomware”, advirtió Huntress. “Huntress recomienda deshabilitar el servicio VPN inmediatamente o restringir severamente el acceso a través de la lista de permisos de IP. “Estamos viendo que los actores de amenazas cambian directamente a los controladores de dominio pocas horas después de la violación inicial”
El mismo día, SonicWall confirmó que está al tanto de esta campaña y publicó un aviso instando a los clientes a proteger sus firewalls contra ataques continuos mediante:
- Deshabilitar los servicios SSL VPN siempre que sea posible,
- Limitar la conectividad SSL VPN a direcciones IP de origen confiables,
- Permitir que los servicios de seguridad como Botnet Protection y Geo-IP Filtering identifiquen y bloqueen actores de amenazas conocidos que apuntan a puntos finales SSL VPN
- Aplicar la autenticación multifactor (MFA) para todo acceso remoto para minimizar el riesgo de abuso de credenciales,
- Eliminar cuentas no utilizadas.
En las últimas 72 horas, se ha observado un aumento notable de incidentes cibernéticos reportados interna y externamente relacionados con firewalls SonicWall de la Generación 7 donde SSLVPN está habilitado La compañía dijo.
“Estamos investigando activamente estos incidentes para determinar si están relacionados con una vulnerabilidad previamente revelada o si una nueva vulnerabilidad puede ser responsable. Permanezca alerta y aplique las mitigaciones anteriores de inmediato para reducir la exposición mientras continuamos nuestra investigación”
Hace dos semanas, SonicWall también advirtió a los administradores para parchear sus dispositivos SMA 100 contra una vulnerabilidad de seguridad crítica (CVE-2025-40599) que puede explotarse para obtener la ejecución remota de código en dispositivos sin parches.
Aunque los atacantes requerirían privilegios de administrador para explotar CVE-2025-40599, y actualmente no hay evidencia de explotación activa de esta vulnerabilidad, la compañía aún instó a los clientes a proteger sus dispositivos SMA 100, ya que estos dispositivos ya están siendo atacados ataques que utilizan credenciales comprometidas para implementar el nuevo malware rootkit OVERSTEP.
Fuente: bleepingcomputer.com