Se ha identificado una presunta vulnerabilidad de día cero en los dispositivos de firewall SonicWall, la cual está siendo explotada activamente por el grupo de ransomware Akira. Esta falla permite a los atacantes acceder a redes corporativas a través de la función SSL VPN de SonicWall para luego implementar el ransomware.
Detalles de la amenaza
- Ataque de día cero: A finales de julio de 2025, los expertos en seguridad observaron un aumento de ataques de ransomware que aprovechaban los dispositivos SonicWall. La evidencia sugiere que se trata de una vulnerabilidad de día cero, ya que las intrusiones afectaron incluso a firewalls que estaban completamente actualizados.
- Evasión de seguridad: En algunos casos, los atacantes lograron evadir la autenticación multifactor (MFA), lo que indica un vector de ataque sofisticado que burla las medidas de seguridad tradicionales.
- Origen del ataque: Se ha atribuido la campaña al grupo de ransomware Akira, que ha estado utilizando credenciales comprometidas para acceder a las VPN de SonicWall. Los inicios de sesión maliciosos suelen provenir de direcciones IP de proveedores de alojamiento de servidores privados virtuales (VPS), en lugar de redes residenciales o comerciales.
- Rapidez de la intrusión: El tiempo entre el acceso inicial a la VPN y la implementación del ransomware es muy corto, dejando a las víctimas con poco tiempo para reaccionar.
- Vulnerabilidad sin parche: Se ha observado que los dispositivos de la serie SMA 100 de SonicWall, que ya están al final de su vida útil, también están siendo afectados, lo que sugiere una vulnerabilidad combinada con un backdoor llamado OVERSTEP.
Recomendaciones de seguridad
Dada la alta probabilidad de que la vulnerabilidad no tenga un parche, los expertos en seguridad han emitido las siguientes recomendaciones:
- Desactivación inmediata: Desactivar de inmediato el servicio SonicWall SSL VPN hasta que se libere e implemente un parche oficial. Esta medida drástica es crucial para prevenir el acceso inicial a la red.
- Mejoras en la seguridad:
- Habilitar servicios de seguridad como Botnet Protection.
- Aplicar MFA en todas las cuentas de acceso remoto.
- Mantener una buena higiene de contraseñas, actualizándolas regularmente.
- Eliminar cualquier cuenta de usuario local inactiva o sin usar, especialmente las que tienen acceso a la VPN.
- Bloquear los intentos de autenticación de VPN que provengan de números de sistema autónomo (ASN) asociados con la campaña maliciosa.
Arctic Wolf Labs sigue investigando la campaña. Las organizaciones que utilicen firewalls SonicWall deben revisar su postura de seguridad y tomar medidas inmediatas para mitigar la amenaza.
