Los expertos en seguridad han advertido que los ciberdelincuentes han violado con éxito al menos 30 organizaciones utilizando una vulnerabilidad en las VPN de SonicWall.
A principios de 2024, SonicWall informó descubrir y parchear una vulnerabilidad crítica en SonicWall SonicOS. Este error, rastreado como CVE-2024-40766, tiene una puntuación de gravedad de 9,3 (crítico) y puede provocar acceso no autorizado a recursos e incluso fallos de la VPN.
En ese momento, la compañía no tenía ninguna evidencia de abuso en la naturaleza, sin embargo, solo unas semanas después, ambos nuevos informes de Arctic Wolf y Rapid7 advirtieron a los usuarios que parchearan inmediatamente después de que los piratas informáticos comenzaran a explotar la falla.
Akira dominando
La vulnerabilidad de control de acceso inadecuado está afectando a los firewalls Gen 5, Gen 6 y Gen 7, así como a la función SSLVPN de los firewalls. Los investigadores advirtieron que los delincuentes estaban abusando de ellos para desplegar a Akira y Fog. ransomware variantes. Akira, que parece ser el más activo de los dos, normalmente apunta a empresas de los sectores de educación, finanzas, bienes raíces, manufactura y consultoría.
De las 30 víctimas registradas, el 75% estaban infectadas con Akira y el resto con Fog. Sin embargo, parece que los dos actores de amenazas están profundamente conectados, comparten la misma infraestructura y no compiten por la misma superficie de ataque.
Además de abusar de la vulnerabilidad SonicWall, los investigadores también dijeron que lo más probable es que las víctimas no tuvieran habilitada la autenticación multifactor (MFA) en las cuentas VPN SSL comprometidas, lo que haría las cosas mucho más difíciles para los atacantes. Además, ejecutaban los servicios en el puerto predeterminado 4433, lo que también favorecía los puntos fuertes de los atacantes.
“En las intrusiones en las que se capturaron registros de firewall, se observó el ID de evento de mensaje 238 (se permite el inicio de sesión de usuario remoto en la zona WAN) o el ID de evento de mensaje 1080 (se permite el inicio de sesión de usuario remoto de la zona VPN SSL)”, dijo Arctic Wolf. “Después de uno de estos mensajes, hubo varios mensajes de registro de INFORMACIÓN de VPN SSL (ID de evento 1079) que indicaban que el inicio de sesión y la asignación de IP se habían completado correctamente”.
CVE-2024-40766 se agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA, lo que dio a las empresas federales una fecha límite para repararlo.
A través de pitidocomputadora