En el mundo de la ciberseguridad, las alertas son una constante. Sin embargo, algunas requieren nuestra atención inmediata. Recientemente, se ha identificado una explotación activa y crítica en los dispositivos VPN de SonicWall, una situación que podría tener consecuencias devastadoras para las organizaciones que no tomen medidas urgentes.
¿Cuál es la Amenaza?
La comunidad de ciberseguridad, liderada por investigadores como los de Huntress, ha detectado que atacantes están explotando activamente una vulnerabilidad en los firewalls de SonicWall. Inicialmente se pensó que era un “zero-day”, pero SonicWall ha confirmado con alta confianza que la actividad maliciosa está relacionada con la vulnerabilidad CVE-2024-40766.
Esta falla de control de acceso indebido en la gestión de SonicOS y SSL VPN permite a los atacantes:
- Omitir la autenticación multifactor (MFA).
- Obtener acceso administrativo al dispositivo.
- Moverse lateralmente a través de la red.
- Robar credenciales y desactivar las defensas de seguridad.
- Desplegar ransomware, específicamente la variante conocida como Akira.
Lo más alarmante es la velocidad del ataque. Los actores maliciosos pueden comprometer un controlador de dominio en cuestión de horas tras la brecha inicial.
¿Está mi Empresa en Riesgo?
La vulnerabilidad afecta a los appliances de firewall de SonicWall de séptima generación y más recientes que tengan la SSL VPN habilitada. Concretamente, la telemetría sugiere que el compromiso podría estar limitado a los firewalls de las series TZ y NSa con SSLVPN activado. Las versiones de firmware 7.2.0-7015 y anteriores están confirmadas como vulnerables.
Recomendaciones Urgentes de Seguridad
Si tu organización utiliza equipos SonicWall, es crucial actuar de inmediato. Sigue estas recomendaciones para mitigar el riesgo:
- Actualizar el Firmware: La medida más importante es actualizar a la versión 7.3.0 o superior lo antes posible.
- Restablecer Contraseñas: Cambia las contraseñas de todas las cuentas de usuario locales con acceso a la SSL VPN. Se recomienda también rotar las contraseñas de las cuentas de LDAP utilizadas para la integración con Active Directory.
- Deshabilitar la VPN (Si es Posible): La protección inmediata más efectiva es deshabilitar el servicio SSL VPN de SonicWall hasta que se aplique el parche oficial.
- Restringir el Acceso: Si no es posible deshabilitar la VPN, restringe el acceso a una lista mínima de direcciones IP conocidas y de confianza.
- Segmentar la Red: Asegúrate de que tu red esté segmentada para que una brecha en el firewall no otorgue acceso inmediato a servidores críticos.
- Auditar Cuentas de Servicio: Revisa que las cuentas de servicio, como la que utiliza el dispositivo SonicWall, sigan el principio de mínimo privilegio y no tengan permisos de Administrador de Dominio.
- Buscar Actividad Maliciosa: Utiliza los Indicadores de Compromiso (IOCs) proporcionados en investigaciones de seguridad para buscar señales de una posible brecha en tus sistemas.
Conclusión
La explotación activa de esta vulnerabilidad de SonicWall representa un riesgo grave y tangible. La velocidad y el impacto de los ataques, que culminan en el despliegue de ransomware, exigen una respuesta rápida y decidida. En FHONS, instamos a todos nuestros clientes y a la comunidad en general a revisar sus sistemas, aplicar las actualizaciones necesarias y seguir las recomendaciones de seguridad para proteger sus activos digitales.
No subestimes la amenaza. ¡Actúa ahora!