Vulnerabilidad de SonicWall Explotada por Actores de Ransomware
El grupo del ransomware Akira ha vuelto a llamar la atención, ya que recientemente han comenzado otra campaña de explotación con el mismo enfoque del año pasado. La vulnerabilidad, CVE-2024-40766, que afecta a firewalls, componentes de SSLVPN y otros dispositivos con SonicOS, está siendo aprovechada de nuevo como punto de acceso a redes vulnerables desde dispositivos desactualizados; una técnica ya conocida de este grupo.
El grupo ha estado investigando y explotando esta vulnerabilidad para utilizarla como vector de acceso inicial, aprovechando credenciales filtradas durante el anuncio de la misma vulnerabilidad y estableciendo un punto de apoyo dentro del perímetro de la red, realizando movimientos laterales, escalación de privilegios y distribución de ransomware hacia los dispositivos que se encuentre en la misma red.
A pesar de todo, se sospecha que la vulnerabilidad CVE-2024-40766 solo es uno de varios posibles vectores de ataque que el grupo Akira está empleando, ya que también están explotando errores en la configuración, como los ajustes del grupo de usuarios por defecto en SSLVPN que, si no está correctamente configurado, puede permitir acceso a cualquier usuario. Adicionalmente se sospecha que pueden estar accediendo mediante el “Virtual Office Portal”, solución que provee acceso remoto y seguro a través de internet, pero que puede estar mal configurada para permitir acceso público.
Aunque es indispensable actualizar para mitigar este riesgo, de igual manera es recomendable restablecer todas las credenciales asociadas a dispositivos desactualizados para evitar que sean reutilizadas. De no hacer lo anterior, los sistemas podrían permanecer vulnerables sin importar que estén actualizados.
Versiones Afectadas
|
Productos |
Versiones afectadas |
Versiones corregidas |
|
Firewall SOHO Gen5 |
5.9.2.14-12o o anteriores |
5.9.2.14-13o o más nuevas |
|
Firewalls Gen6 SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W
|
6.5.4.14-109n o anteriores |
6.5.2.8-2n o más nuevas (SM9800, NSsp 12400, NSsp 12800) y 6.5.4.15.116n o más nuevas (para el resto) |
|
Firewalls Gen7 TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700
|
7.0.1-5035 o anteriores |
7.0.1-5036 o más nuevas |
Recomendaciones
-
Auditar el inventario de dispositivos de red para actualizar aquellos vulnerables y rotar credenciales.
-
Monitorear registros de firewall en caso de muchos intentos de autenticación o patrones que indiquen explotación activa.
-
Implementar segmentación de red para prevenir movimiento lateral originado desde un dispositivo vulnerable.
-
Revisar la correcta configuración de MFA para los servicios de SSLVPN.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para prevenir ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- AnuPriya. (2025, September 11). ACSC warns of actively exploited sonicwall access control vulnerability. CyberPress. https://cyberpress.org/acsc-sonicwall-access-control-vulnerability/
- Arghire, I. (2025, September 11). Akira ransomware attacks fuel uptick in exploitation of sonicwall flaw. SecurityWeek. https://www.securityweek.com/akira-ransomware-attacks-fuel-uptick-in-exploitation-of-sonicwall-flaw/
- Rapid7. (2025, September 10). Akira ransomware group utilizing sonicwall devices for initial access. Rapid7. https://www.rapid7.com/blog/post/dr-akira-ransomware-group-utilizing-sonicwall-devices-for-initial-access/
- Toulas, B. (2024, August 26). SonicWall warns of critical access control flaw in SonicOS. BleepingComputer. https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-critical-access-control-flaw-in-sonicos/
- Toulas, B. (2025, September 11). Akira ransomware exploiting critical SonicWall SSLVPN bug again. BleepingComputer. https://www.bleepingcomputer.com/news/security/akira-ransomware-exploiting-critical-sonicwall-sslvpn-bug-again/
