SonicWall descarta temores de dia zero após investigação de ransomware
A SonicWall não encontrou evidências de uma nova vulnerabilidade depois de sondar relatórios de um dia zero usado em ataques de ransomware.
Parede da SonicWall investigado alegações de um dia zero sendo usado em ataques de ransomware, mas não encontrou evidências de qualquer nova vulnerabilidade em seus produtos.
A SonicWall lançou a investigação após um aumento naAtaques ransomware Akiravisando firewalls Gen 7 com SSLVPN habilitado. A empresa trabalhou para determinar se os incidentes decorrem de uma falha existente ou de uma vulnerabilidade recém-descoberta.
“Nas últimas 72 horas, houve um aumento notável nos incidentes cibernéticos relatados interna e externamente envolvendo firewalls Gen 7 SonicWallonde o SSLVPN está ativado.” lê odeclaraçãopublicado pelo fornecedor. Isso inclui atividades de ameaças destacadas por equipes de pesquisa de segurança cibernética de terceiros, como:
- Lobo do Ártico
- Google Mandiant
- Caçadora
Estamos investigando ativamente esses incidentes para determinar se eles estão conectados a uma vulnerabilidade divulgada anteriormente ou se uma nova vulnerabilidade pode ser responsável.”
Pesquisadores do Arctic Wolf Labs relataram queAkira ransomwareestá explorando VPNs SSL da SonicWall em um provável ataque de dia zero, visando até mesmo dispositivos totalmente corrigidos. O Arctic Wolf Labs observou várias intrusões via acesso VPN no final de julho de 2025. As evidências sugerem um provável dia zero nas VPNs da SonicWall, já que dispositivos totalmente corrigidos com MFA e credenciais rotativas ainda foram comprometidos em alguns ataques.
“Embora o acesso a credenciais por meio de força bruta, ataques de dicionário e preenchimento de credenciais ainda não tenham sido definitivamente descartados em todos os casos, as evidências disponíveis apontam para a existência de uma vulnerabilidade de dia zero.” lê orelatóriopublicado pela Arctic Wolf Labs. “Em alguns casos, dispositivos SonicWall totalmente corrigidos foram afetados após a rotação de credenciais. Apesar de o TOTP MFA estar habilitado, as contas ainda foram comprometidas em alguns casos.”
A atividade de ransomware direcionada a VPNs SSL da SonicWall aumentou a partir de 15 de julho de 2025, com casos semelhantes que remontam aOutubro de 2024. Os invasores costumavam usar a hospedagem VPS para logins de VPN, ao contrário do acesso legítimo de ISPs. A Arctic Wolf observou pequenos atrasos entre o acesso e a criptografia e está aplicando suas próprias defesas recomendadas internamente.
Os pesquisadores recomendam que as organizações considerem desabilitar o serviço SonicWall SSL VPN até que um patch seja disponibilizado e implantado.
Empresa de segurança cibernética Huntress Detectado cerca de 20 ataques desde 25 de julho de 2025, usando ferramentas como AnyDesk, ScreenConnect e SSH. A atividade parece limitada a firewalls SonicWall das séries TZ e NSa com SSLVPN habilitado, provavelmente explorando uma falha nas versões de firmware 7.2.0-7015 e anteriores.
A SonicWall aconselha a ativação de serviços de segurança como proteção contra botnets, a aplicação de MFA para todos os acessos remotos e a remoção de contas de firewall não utilizadas. Os especialistas recomendam atualizações regulares de senha. Para limitar a exposição a logins VPN mal-intencionados, as organizações devem considerar o bloqueio da autenticação VPN de ASNs relacionados à hospedagem, embora o bloqueio total possa interromper as operações. Essas etapas ajudam a melhorar a segurança, mas podem não impedir totalmente a ameaça descrita.
A SonicWall pede aos usuários do firewall Gen 7 que apliquem imediatamente as principais mitigações em meio a uma investigação em andamento. As ações recomendadas incluem desabilitar o SSLVPN sempre que possível, restringir o acesso a IPs confiáveis, habilitar serviços de segurança como proteção contra botnet e filtragem de Geo-IP, aplicar MFA (embora possa não impedir totalmente a ameaça), remover contas não utilizadas, especialmente aquelas com acesso SSLVPN e manter práticas de senha fortes. Essas etapas visam reduzir o risco enquanto a SonicWall continua sua investigação.
A SonicWall confirmou agora que não há dia zero envolvido em ataques recentes de ransomware, mas sim a exploração de uma falha conhecida, CVE-2024-40766. Essa vulnerabilidade, divulgada em setembro de 2024, foi usada por agentes de ameaças, principalmente em ataques de ransomware Akira, para roubar credenciais de dispositivos. Embora muitos sistemas tenham sido corrigidos, os invasores ainda podem acessá-los se as credenciais não forem alteradas. Menos de 40 incidentes relacionados estão sob investigação da SonicWall, principalmente ligados a migrações de firewall.
“Agora temos grande confiança de que a recente atividade do SSLVPN énão conectado a uma vulnerabilidade de dia zero. Em vez disso, há uma correlação significativa comª atividade de ameaça relacionada ao CVE-2024-40766, que foi divulgada anteriormente e documentada em nosso comunicado públicoSNWLID-2024-0015.” lê o Consultivo publicado pelo fornecedor de segurança.
“Atualmente, estamos investigando menos de 40 incidentes relacionados a essa atividade cibernética. Muitos dos incidentes estão relacionados a migrações de firewalls Gen 6 para Gen 7, em que as senhas de usuários locais foram transferidas durante a migração e não redefinidas. A redefinição de senhas foi uma etapa crítica descrita noAssessoria Original. “
O fornecedor aconselha atualizar para o firmware 7.3.0+ e redefinir todas as senhas locais, especialmente para SSLVPN, para melhorar a segurança. No entanto, alguns usuários no Reddit pergunta a explicação da empresa, citando violações em contas criadas após a migração para firewalls Gen 7 e alegando que a SonicWall se recusou a revisar seus logs.
Siga-me no Twitter:@securityaffairseLinkedineMastodonte
(Assuntos de Segurança–hacking, dia zero)