La firma de ciberseguridad Huntress advirtió el viernes sobre un «compromiso generalizado» de los dispositivos VPN SSL de SonicWall utilizados para acceder a múltiples entornos de clientes.
«Los actores de amenazas están autenticando rápidamente múltiples cuentas en dispositivos comprometidos», dice el informe. «La velocidad y escala de estos ataques sugiere que los atacantes parecen tener control sobre las credenciales válidas en lugar de ataques de fuerza bruta».
Se dice que la mayor parte de la actividad comenzó el 4 de octubre de 2025 y afectó a más de 100 cuentas VPN SSL de SonicWall en 16 cuentas de clientes. En el caso investigado por Huntress, el dispositivo SonicWall se autenticó desde la dirección IP 202.155.8(.)73.
La compañía señaló que en algunos casos los atacantes no llevaron a cabo más hostilidades dentro de la red y cortaron la conexión después de un corto período de tiempo. Sin embargo, en otros casos, se ha encontrado a atacantes realizando actividades de escaneo de red e intentando acceder a numerosas cuentas locales de Windows.
Esta divulgación se produce poco después de que SonicWall admitiera que un incidente de seguridad resultó en la divulgación no autorizada de archivos de copia de seguridad de la configuración del firewall almacenados en las cuentas de MySonicWall. Según la última actualización, esta infracción afecta a todos los clientes que utilizaron el servicio de copia de seguridad en la nube de SonicWall.
«Los archivos de configuración del firewall almacenan información confidencial que puede ser explotada por actores de amenazas para explotar o obtener acceso a la red de una organización», dijo Arctic Wolf. «Estos archivos pueden proporcionar a un atacante información confidencial, como configuración de usuario, grupo y dominio, configuración de registro y DNS, y certificados».
Sin embargo, Huntress señaló que en este momento no hay evidencia que vincule esta infracción con el reciente aumento de infracciones.
Teniendo en cuenta que las credenciales confidenciales se almacenan dentro de las configuraciones de firewall, se recomienda a las organizaciones que utilizan el servicio de respaldo de configuración en la nube MySonicWall restablecer las credenciales en los dispositivos de firewall activos para evitar el acceso no autorizado.
También recomendamos restringir la administración de WAN y el acceso remoto cuando sea posible, revocar las claves API externas que afectan los firewalls y los sistemas de administración, monitorear los inicios de sesión para detectar signos de actividad sospechosa y aplicar la autenticación multifactor (MFA) para todos los administradores y cuentas remotas.
Esta divulgación se produce en medio de un aumento en la actividad de ransomware dirigido a dispositivos de firewall SonicWall para el acceso inicial, y el ataque aprovecha una falla de seguridad conocida (CVE-2024-40766) para infiltrarse en las redes objetivo que implementan el ransomware Akira.
En un informe publicado esta semana, Darktrace dijo que detectó una intrusión dirigida a un cliente estadounidense anónimo a finales de agosto de 2025 que incluía escaneo de red, reconocimiento, movimiento lateral, escalada de privilegios utilizando técnicas como hash UnPAC y robo de datos.
«Más tarde se determinó que uno de los dispositivos comprometidos era un servidor de red privada virtual (VPN) de SonicWall, lo que sugiere que este incidente fue parte de una campaña más amplia de ransomware Akira dirigida a la tecnología SonicWall», dice el informe.
«Esta campaña de los atacantes del ransomware Akira resalta la importancia crítica de mantener métodos de parcheo actualizados. Los actores de amenazas continúan explotando vulnerabilidades previamente reveladas, no solo de día cero, lo que destaca la necesidad de una vigilancia continua incluso después de que se publiquen los parches».
Source link
