Los afiliados de ransomware aprovechan una vulnerabilidad de seguridad crítica en los dispositivos de firewall SonicWall SonicOS para penetrar las redes de las víctimas.
Identificada como CVE-2024-40766, esta falla de control de acceso inadecuado afecta a los firewalls Gen 5, Gen 6 y Gen 7. SonicWall lo parchó el 22 de agosto y advirtió que solo afectaba a la interfaz de acceso a la administración del firewall.
Sin embargo, el viernes SonicWall reveló que la vulnerabilidad de seguridad también afectaba a la función SSLVPN del firewall y ahora estaba siendo explotada en ataques. La compañía advirtió a los clientes que «apliquen el parche lo antes posible para los productos afectados» sin compartir detalles sobre la explotación en el mundo real.
El mismo día, los investigadores de seguridad de Arctic Wolf relacionado ataques con afiliados de ransomware Akira, que apuntaban a dispositivos SonicWall para obtener acceso inicial a las redes de sus objetivos.
«En cada caso, las cuentas comprometidas eran locales de los propios dispositivos en lugar de estar integradas en una solución de autenticación centralizada como Microsoft Active Directory», dijo Stefan Hostetler, investigador senior de inteligencia de amenazas en Arctic Wolf.
“Además, la autenticación multifactor se deshabilitó para todas las cuentas comprometidas y el firmware SonicOS en los dispositivos afectados estaba en versiones que se sabía que eran vulnerables a la vulnerabilidad CVE-2024-40766. »
La empresa de ciberseguridad Rapid7 también manchado Los grupos de ransomware se han dirigido a las cuentas SSLVPN de SonicWall en incidentes recientes, pero dijeron que «la evidencia que vincula CVE-2024-40766 con estos incidentes aún es circunstancial».
Arctic Wolf y Rapid7 se hicieron eco de la advertencia de SonicWall e instaron a los administradores a actualizar a la última versión del firmware de SonicOS lo antes posible.
Se ordenó a las agencias federales actualizar los parches antes del 30 de septiembre
CISA hizo lo mismo el lunes, suma la falla crítica de control de acceso a su catálogo de vulnerabilidades explotadas conocidas, ordenando a las agencias federales que protejan los firewalls SonicWall vulnerables en sus redes dentro de tres semanas antes del 30 de septiembre, como lo requiere la directiva Binding Operational (BOD) 22-01.
Las recomendaciones de mitigación de SonicWall incluyen restringir la administración del firewall y el acceso SSLVPN a fuentes confiables y deshabilitar el acceso a Internet siempre que sea posible. Los administradores también deben habilitar la autenticación multifactor (MFA) para todos los usuarios de SSLVPN que utilizan TOTP o contraseñas de un solo uso (OTP) basadas en una dirección de correo electrónico.
Los atacantes suelen apuntar a dispositivos y dispositivos SonicWall en ataques de ciberespionaje y ransomware. Por ejemplo, SonicWall PSIRT y Mandiant revelaron el año pasado que presuntos piratas informáticos chinos (UNC4540) instalaron malware que sobrevivió a las actualizaciones de firmware en dispositivos SonicWall Secure Mobile Access (SMA) sin parches.
Varios grupos de ransomware, incluidos HelloKitty y FiveHands, a los que ahora se une Akira, también han explotado las fallas de seguridad de SonicWall para obtener acceso inicial a las redes corporativas de sus víctimas.
SonicWall presta servicios a más de 500.000 clientes comerciales en 215 países y territorios, incluidas agencias gubernamentales y algunas de las empresas más grandes del mundo.
