Sonic Wall dijo que estaba investigando activamente el informe para determinar si hay nuevas vulnerabilidades de día cero, luego de un informe sobre el actor de ransomware de Akira Spike a fines de julio de 2025.
«En las últimas 72 horas, ha habido un aumento notable en los incidentes cibernéticos informados internos y externos, incluido el firewall Gen 7 Sonicwall con SSLVPN habilitado», dijo el proveedor de seguridad de la red en un comunicado.
«Estamos investigando activamente estos casos para determinar si están relacionados con vulnerabilidades divulgadas previamente, o si se pueden considerar nuevas vulnerabilidades».
Mientras SonicWall está cavando más profundamente, se alienta a las organizaciones que usan los firewalls de Sonicwall de Gen 7, que sigan los pasos a continuación hasta un aviso adicional –
Deshabilitar las conexiones SSL VPN de SSL VPN Services a direcciones IP confiables Elimine las cuentas de usuario locales inactivas o no utilizadas en el firewall, como los servicios de protección y activación de botnets, como el filtrado de GEO-IP, empapados.
El desarrollo se produce justo después de que Arctic Wolf reveló que había identificado un aumento en la actividad de ransomware Achira dirigida a dispositivos VPN de SonicWall SSL para el acceso temprano a finales del mes pasado.
Huntress también observó en un análisis de seguimiento publicado el lunes que también observó a los actores de amenaza que se dirigían directamente al controlador de dominio horas después de la violación inicial.
La cadena de ataque comienza con una violación del aparato de pared sónico, luego roba la vía de exposición «desgastada» del atacante para enumerar, evitar la detección, el movimiento lateral y el robo de derechos.
El incidente también incluye a los malos actores que organizan el antivirus de los defensores de Microsoft y eliminan las copias de volumen en la sombra antes de implementar el ransomware Akira.
Huntress dijo que se han detectado 20 ataques diferentes relacionados con la última ola de ataque que comienza el 25 de julio de 2025. Esto se observó en variaciones utilizadas para separarlos, como el uso de herramientas para el reconocimiento y la persistencia, o el uso de Anydesk, ScreenConnect o SSH.
Esta actividad puede limitarse a los firewalls de pared sónicos en la serie TZ y NSA con SSL VPN habilitado, y hay evidencia que sugiere que existen fallas sospechosas antes de las versiones de firmware 7.2.0-7015.
«La velocidad y el éxito de estos ataques sugieren fuertemente que las vulnerabilidades de día cero se están explotando en la naturaleza, incluso en entornos con MFA habilitados», dijo la compañía de seguridad cibernética. «Esta es una amenaza importante y continua».
Source link
