Se ha instado a los clientes de SonicWall a que parcheen una vulnerabilidad crítica en sus firewalls después de que los investigadores de seguridad advirtieran que se está explotando activamente en ataques de ransomware. La vulnerabilidad con clasificación CVSS 9.3 (CVE-2024-40766) fue publicada originalmente el 22 de agosto por el proveedor de seguridad, antes de que una actualización del 6 de septiembre afirmara que se estaba explotando activamente. «Se ha identificado una vulnerabilidad de control de acceso indebido en el acceso de administración de SonicOS de SonicWall y SSLVPN, que puede provocar un acceso no autorizado a los recursos y, en condiciones específicas, provocar el bloqueo del firewall», señaló el aviso. «Este problema afecta a los dispositivos SonicWall Gen 5 y Gen 6, así como a los dispositivos Gen 7 que ejecutan SonicOS 7.0.1-5035 y versiones anteriores. Esta vulnerabilidad se está explotando potencialmente en la naturaleza. Aplique el parche lo antes posible para los productos afectados». Lea más sobre los errores de SonicWall: SonicWall investiga el ataque utilizando ataques de día cero en sus propios productos El investigador senior de inteligencia de amenazas de Arctic Wolf, Stefan Hostetler, afirmó en una publicación de blog el viernes que los afiliados del ransomware Akira habían comprometido cuentas SSLVPN en dispositivos SonicWall como un vector de acceso inicial para sus ataques. «En cada caso, las cuentas comprometidas eran locales en los propios dispositivos en lugar de estar integradas con una solución de autenticación centralizada como Microsoft Active Directory», agregó. «Además, [multi-factor authentication] La MFA se deshabilitó para todas las cuentas comprometidas, y el firmware de SonicOS en los dispositivos afectados se encontraba dentro de las versiones conocidas por ser vulnerables a CVE-2024-40766”. Además de actualizar al último firmware de SonicOS y activar la MFA para las cuentas SSLVPN administradas localmente, Hostetler instó a los propietarios/administradores de dispositivos Gen5 y Gen6 a actualizar sus contraseñas para cada cuenta. Los investigadores de Rapid7 también han estado monitoreando la situación y notaron una probable actividad de amenaza vinculada a CVE-2024-40766. “A partir del 9 de septiembre de 2024, Rapid7 está al tanto de varios incidentes recientes (tanto externos como observados por Rapid7) en los que las cuentas SSLVPN de SonicWall fueron atacadas o comprometidas, incluso por grupos de ransomware”, explicó. “La evidencia que vincula CVE-2024-40766 con estos incidentes aún es circunstancial, pero dado el interés del adversario en el software en general, Rapid7 recomienda encarecidamente remediarlo de manera urgente. Vulnerabilidades como CVE-2024-40766 se utilizan con frecuencia para el acceso inicial a los entornos de las víctimas”. El lunes, la falla se agregó al Catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA, y las agencias federales dieron como fecha límite el 30 de septiembre para aplicar el parche.