Especialistas em segurança alertaram sobre uma possível vulnerabilidade de dia zero nas VPNs SSL da SonicWall depois de observar um aumento nos ataques de ransomware direcionados aos dispositivos para acesso inicial.
A Arctic Wolf afirmou em um aviso de segurança na sexta-feira que havia observado “várias invasões pré-ransomware” no final de julho “em um curto período de tempo”.
“Embora o acesso a credenciais por meio de força bruta, ataques de dicionário e preenchimento de credenciais ainda não tenham sido definitivamente descartados em todos os casos, as evidências disponíveis apontam para a existência de uma vulnerabilidade de dia zero”, continuou.
“Em alguns casos, dispositivos SonicWall totalmente corrigidos foram afetados após a rotação de credenciais. Apesar do TOTP [time-based one-time password] A MFA está habilitada, as contas ainda foram comprometidas em alguns casos.”
Em todos os casos observados pelo fornecedor de segurança, os agentes de ameaças obtiveram acesso VPN por meio de VPNs SSL da SonicWall. Seguiu-se um curto intervalo antes da criptografia do ransomware, disse o Arctic Wolf.
“Em contraste com os logins VPN legítimos que normalmente se originam de redes operadas por provedores de serviços de Internet de banda larga, os grupos de ransomware costumam usar a hospedagem do Virtual Private Server para autenticação VPN em ambientes comprometidos”, acrescentou.
Logins maliciosos de VPN foram observados pela empresa desde outubro de 2024, embora o aumento mais recente na atividade tenha começado em 15 de julho de 2025, disse a Arctic Wolf.
Ele instou os clientes da SonicWall SSL VPN a:
- Considere desabilitar o serviço até que um patch seja implantado (supondo que os ataques resultem de uma vulnerabilidade de dia zero)
- Habilite o monitoramento de logs da SonicWall por meio do serviço Arctic Wolf Managed Detection and Response
- Habilite serviços de segurança, como proteção contra botnet, para ajudar a detectar agentes de ameaças direcionados a endpoints de VPN SSL
- Aplique a autenticação multifator (MFA) para todos os acessos remotos para reduzir o risco de abuso de credenciais
- Remova contas de usuário de firewall local não utilizadas ou inativas, especialmente aquelas com acesso VPN SSL
- Pratique uma boa higiene de senhas, como incentivar atualizações periódicas de senhas em todas as contas de usuário
- Analise os ASNs relacionados à hospedagem (listados no blogue) e considere bloquear seus intervalos CIDR correspondentes para autenticação VPN
Dispositivos de borda de rede, como VPNs, firewalls e roteadores, são um Alvo popular para atores de ransomwaredado que eles estão conectados à Internet pública, mas também fornecem acesso a recursos corporativos confidenciais. Muitas vezes, esses dispositivos não são cobertos pela detecção e resposta de endpoint (EDR), criando um ponto cego de segurança para os defensores da rede.
SonicWall compartilhou a seguinte resposta com Segurança da informação:
“A SonicWall está investigando ativamente um aumento recente nos incidentes cibernéticos relatados envolvendo vários firewalls Gen 7 executando várias versões de firmware com SSLVPN ativado. Esses casos foram sinalizados internamente e por equipes de pesquisa de ameaças de terceiros, incluindo Arctic Wolf, Google Mandiant e Huntress. Estamos trabalhando em estreita colaboração com essas organizações para determinar se a atividade está vinculada a uma vulnerabilidade divulgada anteriormente ou representa uma vulnerabilidade de dia zero.”
Crédito da imagem: Michael Vi / Shutterstock.com