La pandilla de ransomware Akira está explotando activamente CVE-2024-40766, una vulnerabilidad de control de acceso a la severidad crítica de un año, para obtener acceso no autorizado a los dispositivos Sonicwall.
Los piratas informáticos están aprovechando el problema de seguridad para obtener acceso a las redes de destino a través de puntos finales VPN de SonicWall SSL sin parpadear.
Sonicwall lanzó un Parche para CVE-2024-40766 El año pasado en agosto, marcándolo como explotado activamente. La falla permite el acceso a los recursos no autorizados y puede causar bloqueos de firewall.
En ese momento, SonicWall recomendó encarecidamente que la aplicación de la actualización fuera acompañada de un reinicio de contraseña para los usuarios con cuentas SSLVPN administradas localmente.
Sin girar las contraseñas después de la actualización, los actores de amenaza podrían usar credenciales expuestas para cuentas válidas para configurar la autenticación multifactor (MFA) o el sistema de Sassword (TOTP) basado en el tiempo y obtener acceso.
Akira fue uno de los primeros grupos de ransomware en explotarlo activamente a partir de septiembre de 2024.
Una alerta del Centro de Seguridad Cibernética Australiana (ACSC) advierte ayer a las organizaciones de la nueva actividad maliciosa, instando a la acción inmediata.
«El ACSC de ASD es consciente de un aumento reciente en la explotación activa en Australia de una vulnerabilidad crítica de 2024 en Sonicwall SSL VPNS (CVE-2024-40766)», «,», «. Lee el aviso.
«Somos conscientes del ransomware Akira dirigido a organizaciones australianas vulnerables a través de VPN de Sonicwall SSL», dice el Centro de Seguridad Cibernética Australiana.
La firma de ciberseguridad Rapid7 ha Hizo observaciones similaresinformando que los ataques de ransomware de Akira en dispositivos Sonicwall han vuelto a encender, probablemente vinculados a una remediación incompleta.
Rapid7 destaca los métodos de intrusión, como explotar el permiso de acceso amplio del grupo de usuarios predeterminado para autenticar y conectarse a la VPN, y el permiso de acceso público predeterminado para el portal de la oficina virtual en los dispositivos SonicWall.
Cabe señalar que esta actividad ha generado recientemente confusión en la comunidad de seguridad cibernética, y muchos informan que los actores de ransomware están explotando activamente una vulnerabilidad de día cero en productos de Sonicwall.
El proveedor publicó un nuevo aviso de seguridad Decir que tiene «gran confianza en que la reciente actividad de SSLVPN no está conectada a una vulnerabilidad del día cero» y que encontró «una correlación significativa con la actividad de amenazas relacionada con CVE-2024-40766».
El mes pasado, Sonicwall señaló que estaba investigando hasta 40 incidentes de seguridad relacionados con esta actividad.
CVE-2024-40766 impacta las siguientes versiones de firewall:
- Gen 5: dispositivos SOHO que ejecuta la versión 5.9.2.14-12o y más antiguo
- Gen 6: Varios modelos de TZ, NSA y SM que ejecutan las versiones 6.5.4.14-109n y mayores
- Gen 7: Modelos TZ y NSA que ejecutan Sonicos Build Versión 7.0.1-5035 y más
Se recomienda a los administradores del sistema que sigan el asesoramiento de parches y mitigación proporcionados por el proveedor en el boletín relacionado.
Los administradores deben actualizarse a la versión 7.3.0 o posterior, rotar las contraseñas de la cuenta de SonicWall, imponer la autenticación multifactor (MFA), mitigar el riesgo de grupos predeterminados de SSLVPN y restringir el acceso al portal de oficina virtual a redes confiables/internas.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
