Ciberseguridad - Insights, Ciberseguridad - Noticias, Noticias - Insights, Observabilidad

El ransomware Akira explota vulnerabilidad de hace un año en SonicWall

Posted on by Karmina Clemente
11
Sep

Investigadores en ciberseguridad han informado que el grupo de ransomware Akira está explotando activamente una vulnerabilidad de hace un año en los firewalls de SonicWall (CVE-2024-40766) en una nueva serie de ataques. Según Rapid7, los atacantes podrían estar utilizando varios vectores de ataque simultáneamente para obtener acceso inicial.

Acerca de la vulnerabilidad

La falla, con una puntuación CVSS de 9.3, consiste en un problema de control de acceso inapropiado que puede permitir a los ciberdelincuentes acceder a recursos restringidos y, bajo ciertas condiciones, provocar el bloqueo del firewall. La explotación de esta vulnerabilidad se detectó poco después de que SonicWall emitiera un aviso en agosto de 2024, el cual se ha actualizado con recomendaciones adicionales de mitigación.

SonicWall ha instado a todos los usuarios de firewalls Gen5 y Gen6 con cuentas SSLVPN gestionadas localmente a actualizar sus contraseñas de inmediato. También se recomienda a los administradores habilitar la opción “El usuario debe cambiar la contraseña” para cada cuenta local y así prevenir accesos no autorizados.

Actividad reciente de explotación

Rapid7 reporta un aumento en los ataques dirigidos a dispositivos SonicWall vulnerables, atribuible al grupo Akira. Aunque CVE-2024-40766 es el vector principal, los atacantes también podrían estar aprovechando:

  1. Grupo de usuarios predeterminados SSLVPN – una debilidad de configuración que permite el acceso no autorizado a SSLVPN.
  2. Virtual Office Portal – algunos dispositivos SonicWall están configurados para acceso público, lo que podría ser explotado para obtener acceso inicial.

La evidencia sugiere que Akira podría estar combinando los tres vectores de vulnerabilidad para maximizar el acceso y facilitar la implementación de ransomware.

Tácticas del ransomware Akira

Activo desde al menos 2023, el grupo Akira apunta a dispositivos de borde (edge devices) para obtener acceso inicial, escalar privilegios, robar archivos sensibles, eliminar respaldos y desplegar ransomware que encripta archivos a nivel de hipervisor.

Recomendaciones para las organizaciones

Para protegerse de estos ataques, las organizaciones deben:

  • Aplicar todos los parches de SonicWall de inmediato.
  • Seguir todas las medidas de mitigación recomendadas por el proveedor.
  • Rotar las contraseñas de todas las cuentas de SonicWall.
  • Habilitar autenticación multifactor (MFA) para los servicios SSLVPN.
  • Mitigar la vulnerabilidad del grupo de usuarios predeterminados SSLVPN.
  • Restringir el acceso al Virtual Office Portal.

El parcheo proactivo y la correcta configuración siguen siendo las defensas más efectivas contra los grupos de ransomware que atacan los dispositivos de borde de la red.

Fuente: https://www.securityweek.com/akira-ransomware-attacks-fuel-uptick-in-exploitation-of-sonicwall-flaw

Karmina Clemente