A SonicWall diz que os recentes ataques de ransomware Akira que exploram firewalls Gen 7 com SSLVPN habilitado estão explorando uma vulnerabilidade mais antiga, em vez de uma falha de dia zero.
A empresa diz que os invasores têm como alvo o CVE-2024-40766, uma falha de acesso não autorizado corrigida em agosto de 2024.
“Agora temos grande confiança de que a recente atividade do SSLVPN não está conectada a uma vulnerabilidade de dia zero”, diz a atualização do boletim da SonicWall publicada esta semana.
“Em vez disso, há uma correlação significativa com a atividade de ameaças relacionada ao CVE-2024-40766, que foi divulgada anteriormente e documentada em nosso comunicado público SNWLID-2024-0015.”
CVE-2024-40766 é um Falha de controle de acesso SSLVPN no SonicOS, permitindo acesso não autorizado a endpoints vulneráveis, permitindo que invasores sequestrem sessões ou obtenham acesso VPN em ambientes protegidos.
A falha foi explorado extensivamente após sua divulgação há cerca de um ano, inclusive porAkira e Fogransomware operadores que o aproveitaram para violar redes corporativas.
Na sexta-feira, o Arctic Wolf Labs sugeriu pela primeira vez a existência potencial de uma vulnerabilidade de dia zero nos firewalls SonicWall Gen 7, depois de perceber os padrões de ataque do ransomware Akira que apoiavam essa suposição.
A SonicWall confirmou rapidamente que está ciente de uma campanha em andamento, e aconselhou clientes para desativar os serviços SSL VPN e limitar a conectividade a endereços IP confiáveis até que a situação seja resolvida.
Após investigações internas em 40 incidentes, o fornecedor agora contesta a possibilidade de invasores explorarem uma vulnerabilidade de dia zero em seus produtos.
Em vez disso, a SonicWall diz que os ataques Akira têm como alvo endpoints que não seguiram o curso de ação recomendado para mitigar o CVE-2024-40766 ao migrar de firewalls Gen 6 para Gen 7.
“Muitos dos incidentes estão relacionados a migrações de firewalls Gen 6 para Gen 7, onde as senhas de usuários locais foram transferidas durante a migração e não redefinidas”, disse ele. explica a SonicWall.
“A redefinição de senhas foi uma etapa crítica descrita no comunicado original.”
A ação recomendada agora é atualizar o firmware para a versão 7.3.0 ou posterior, que tem proteções de força bruta e MFA mais fortes, e redefinir todas as senhas de usuário local, especialmente aquelas usadas para SSLVPN.
Como a SonicWall também enviou aos clientes esta última atualização, muitos foi para o Reddit para expressar suas dúvidas sobre a precisão das alegações do fornecedor, dizendo que nem tudo nele está de acordo com sua própria experiência.
Alguns Observou que eles tiveram violações em contas que não existiam antes de migrar para firewalls Gen 7 e até alegaram que a SonicWall se recusou a examinar seus logs.
Esses relatórios contraditórios, combinados com a redação ambígua que a SonicWall usou em sua atualização, deixam espaço para incertezas, portanto, a vigilância e a aplicação imediata das medidas recomendadas continuam sendo cruciais.
