¿Cuál es la amenaza?
Inicialmente, se creyó que la actividad reciente dirigida a los dispositivos VPN SSL de SonicWall implicaba una vulnerabilidad de día cero. Sin embargo, SonicWall ha confirmado con alta certeza que los incidentes están relacionados con CVE-2024-40766 , una falla crítica (CVSS 9.6) descubierta en agosto de 2024 que permite a los atacantes secuestrar sesiones y obtener acceso a la VPN.
El grupo de ransomware Akira ha estado explotando esta vulnerabilidad en una campaña dirigida que comenzó alrededor del 15 de julio de 2025 y continúa intensificando. Según SonicWall, los ataques afectan principalmente a los sistemas que no implementaron las mitigaciones recomendadas durante la migración de firewalls de Gen 6 a Gen 7, en particular aquellos que conservaban las contraseñas de los usuarios locales sin restablecerlas, lo que creaba vulnerabilidades explotables en el control de acceso.
Una vez dentro, los atacantes eluden la autenticación multifactor, aumentan los privilegios y despliegan ransomware, bloqueando sistemas e interrumpiendo las operaciones.
¿Por qué es digno de mención?
Esta campaña es sofisticada, se implementa rápidamente y es fácilmente escalable. La capacidad de Akira para eludir mecanismos de seguridad confiables, como la autenticación multifactor (MFA) y los dispositivos VPN empresariales, indica una preocupante evolución en las tácticas de ransomware.
Si bien la vulnerabilidad no es de día cero, la falta de mitigación consistente durante la migración del firewall ha generado una exposición generalizada. Las VPN SSL de SonicWall se utilizan para el acceso remoto seguro entre sectores, lo que las convierte en objetivos de alto riesgo.
La falta de parches universales o de higiene de contraseñas durante la migración ha amplificado la amenaza. Las organizaciones deben actuar con rapidez para implementar las medidas de mitigación recomendadas por SonicWall y restablecer las credenciales retenidas.
¿Cuál es la exposición o riesgo?
Las organizaciones que utilizan VPN SSL de SonicWall, especialmente aquellas que migraron de Gen 6 a Gen 7 sin restablecer las contraseñas locales, se enfrentan a un mayor riesgo de vulneración. Una vez que los atacantes obtienen acceso, pueden:
- Moverse lateralmente a través de redes internas
- Exfiltrar datos sensibles
- Deshabilitar herramientas de seguridad
- Implementar ransomware para cifrar archivos e interrumpir operaciones
El daño financiero y reputacional que un ataque de este tipo puede ser grave. Si no se aborda, esta vulnerabilidad podría provocar brechas de seguridad generalizadas, especialmente en sectores que dependen en gran medida de SonicWall para una conectividad remota segura.
¿Cuáles son las recomendaciones?
- Actualice el firmware a la versión 7.3.0 para implementar defensas mejoradas contra ataques de fuerza bruta.
- Restablezca las contraseñas de todas las cuentas de usuarios locales con acceso SSLVPN, particularmente aquellas migradas de Gen 6 a Gen 7, para garantizar la integridad de las credenciales.
- Deshabilite SonicWall SSL VPN, si es posible, hasta que se publique un parche.
- Limite las conexiones VPN SSL a direcciones IP de fuentes confiables.
- Habilite los servicios de seguridad en sus dispositivos SonicWall, como “protección contra botnets” y “filtrado geográfico de IP”.
- Habilitar MFA para todas las conexiones con acceso eliminado.
- Aplicar políticas de contraseñas seguras.
- Realizar una auditoría de todas las cuentas y eliminar aquellas que ya no estén activas.
Acércate a nosotros para brindarte más información de nuestro programa de canales:
- Sitio web: www.pccommayorista.com
- Registro de canales: https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR
