A SonicWall alertou os clientes para desabilitar os serviços SSLVPN devido a gangues de ransomware potencialmente explorando uma vulnerabilidade de segurança desconhecida nos firewalls SonicWall Gen 7 para violar redes nas últimas semanas.
O aviso vem depoisArctic Wolf Labsrelatado na sexta-feiraque observou vários ataques de ransomware Akira, provavelmente usando uma vulnerabilidade de dia zero da SonicWall, desde 15 de julho.
“Os métodos de acesso inicial ainda não foram confirmados nesta campanha”, disseram os pesquisadores do Arctic Wolf Labs. “Embora a existência de uma vulnerabilidade de dia zero seja altamente plausível, o acesso a credenciais por meio de força bruta, ataques de dicionário e preenchimento de credenciais ainda não foi definitivamente descartado em todos os casos.”
A Arctic Wolftambém aconselhou os administradores da SonicWall na sexta-feira a desativar temporariamente os serviços VPN SSL da SonicWall devido à forte possibilidade de que uma vulnerabilidade de dia zero da SonicWall estivesse sendo explorada nesses ataques.
Empresa de segurança cibernética Huntresstambém confirmouArctic Wolf na segunda-feira e publicou um relatório fornecendo indicadores de comprometimento (IOCs) coletados durante a investigação desta campanha.
“Uma provável vulnerabilidade de dia zero nas VPNs da SonicWall está sendo explorada ativamente para contornar o MFA e implantar ransomware”, alertou Huntress. “A Huntress aconselha desabilitar o serviço VPN imediatamente ou restringir severamente o acesso via lista de permissões de IP. Estamos vendo os agentes de ameaças se voltarem diretamente para os controladores de domínio poucas horas após a violação inicial.”
No mesmo dia, a SonicWall confirmou que está ciente dessa campanha e publicou um comunicado pedindo aos clientes que protejam seus firewalls contra ataques contínuos:
- Desativando serviços SSL VPN sempre que possível,
- Limitando a conectividade SSL VPN a endereços IP de origem confiável,
- Habilitação de serviços de segurança, como proteção contra botnet e filtragem de Geo-IP, para identificar e bloquear agentes de ameaças conhecidos direcionados a endpoints VPN SSL,
- Impor a autenticação multifator (MFA) para todos os acessos remotos para minimizar o risco de abuso de credenciais,
- Removendo contas não utilizadas.
“Nas últimas 72 horas, houve um aumento notável nos incidentes cibernéticos relatados interna e externamente envolvendo firewalls Gen 7 SonicWall onde o SSLVPN está ativado”, A empresa disse.
“Estamos investigando ativamente esses incidentes para determinar se eles estão conectados a uma vulnerabilidade divulgada anteriormente ou se uma nova vulnerabilidade pode ser responsável. Por favor, permaneça vigilante e aplique as mitigações acima imediatamente para reduzir a exposição enquanto continuamos nossa investigação.”
Duas semanas atrás,A SonicWall também alertou os administradorespara corrigir seus dispositivos SMA 100 contra uma vulnerabilidade crítica de segurança (CVE-2025-40599) que pode ser explorada para obter execução remota de código em dispositivos sem patch.
Embora os invasores exijam privilégios de administrador para explorar o CVE-2025-40599, e atualmente não haja evidências de exploração ativa dessa vulnerabilidade, a empresa ainda pediu aos clientes que protejam seus dispositivos SMA 100, pois esses dispositivos já estão sendo alvo deAtaques que usam credenciais comprometidaspara implantar o novo malware rootkit OVERSTEP.
