Varios reportes advertían sobre una campaña activa del ransomware Akira que apuntaba a una vulnerabilidad de día cero en firewalls Gen 7. Este miércoles SonicWall descartó ese escenario e indicó, con alto grado de certeza, que los actores de amenaza buscan explotar el CVE-2024-40766. La empresa dijo que la mayoría de los incidentes se relacionan con migraciones de firewalls de Gen 6 a Gen 7.
Este miércoles, SonicWall aclaró que los recientes ataques que afectaron a sus firewalls de séptima generación con SSLVPN habilitado no están relacionados con una vulnerabilidad de día cero, como inicialmente se temía. En su lugar, la compañía atribuyó la actividad maliciosa a una vulnerabilidad ya conocida: CVE-2024-40766, documentada previamente en su aviso técnico SNWLID-2024-0015.
«Ahora tenemos un alto grado de certeza de que la reciente actividad de SSLVPN no está relacionada con una vulnerabilidad de día cero», aseguró SonicWall en una actualización oficial, luego de días de creciente preocupación en la comunidad de ciberseguridad. “Existe una correlación significativa con la actividad de amenazas relacionada con CVE-2024-40766”.
La aclaración llega después de un intenso período de alertas lanzadas por firmas de ciberseguridad como Arctic Wolf, Huntress y Google Mandiant, que habían advertido sobre una posible explotación de una falla desconocida en dispositivos SonicWall Gen 7. Estos ataques, iniciados a mediados de julio, habrían permitido a los actores maliciosos desplegar el ransomware Akira en múltiples organizaciones.
El viernes pasado, Arctic Wolf señaló que “la existencia de una vulnerabilidad de día cero es muy plausible”, aunque no descartaban el uso de otras técnicas como ataques de fuerza bruta o el robo de credenciales. Por su parte, Huntress afirmó que se estaba “explotando activamente una probable vulnerabilidad de día cero en las VPN de SonicWall para eludir la autenticación multifactor (MFA) e implementar ransomware”.
No obstante, la nueva declaración de SonicWall sugiere un panorama diferente. De los menos de 40 incidentes actualmente bajo investigación, muchos están vinculados a procesos de migración de dispositivos de la generación 6 a la 7, durante los cuales no se restablecieron las contraseñas de cuentas locales, como se recomendaba en la documentación oficial.
SonicWall ha pedido a los usuarios que sigan una serie de pasos para mitigar los riesgos:
- Actualizar el firmware a la versión 7.3.0, que incluye mejores defensas contra ataques de fuerza bruta y MFA.
- Restablecer todas las contraseñas de cuentas locales con acceso SSLVPN, en especial si fueron migradas desde dispositivos Gen 6.
- Aplicar políticas de seguridad como protección contra botnets, filtrado geográfico, eliminación de cuentas inactivas y uso obligatorio de MFA.
“Esta no es una campaña aislada”, había alertado Huntress a inicios de semana. “La velocidad y éxito de los ataques, incluso con MFA habilitado, sugieren una explotación en curso”.
Aunque inicialmente no se tenía certeza sobre el vector de ataque -y algunos dispositivos comprometidos tenían todos los parches aplicados-, SonicWall enfatiza ahora que no se ha descubierto una nueva vulnerabilidad hasta el momento. Aun así, la empresa continúa trabajando con investigadores externos como Arctic Wolf, Huntress y Google Mandiant, y mantiene abierta la posibilidad de lanzar actualizaciones adicionales si se identifican nuevas amenazas. En paralelo, los especialistas continúan recomendando que las organizaciones evalúen la posibilidad de desactivar temporalmente los servicios VPN SSL o, al menos, restringir su acceso mediante listas de IPs confiables hasta que se complete la investigación.