Akira explota vulnerabilidad en SonicWall

Un fallo de seguridad en los firewall de la compañía ha sido usado como punto de acceso inicial por afiliados de la banda de ransomware

El CVE-2024–40766 cataloga un fallo de seguridad en el gestor de acceso SonicOS de SonicWall y SSLVPN. Con una criticidad de 9.3 en la escala CVSS, el problema del tipo improper access control permitiría a un atacante acceder a recursos no autorizados y, en condiciones específicas, causar una denegación de servicio en los firewall afectados.

Aunque el parche y la publicación de la vulnerabilidad se realizaron el 22 de agosto las evidencias de su explotación en ataques reales no se han producido hasta los primeros días del mes de septiembre.

Tanto la propia compañía, con una actualización de su publicación indicando que el fallo estaba siendo potencialmente explotado, como la agencia CISA, añadiendo el CVE-2024–40766 a la lista de vulnerabilidades utilizadas en ataques, corroboran las publicaciones de Rapid7 y Artic Wolf en las que se detalla el interés de adversarios por este problema.

Los equipos afectados son aquellos que tienen versiones del software 5.9.2.14–12o, 6.5.4.14–109n, 7.0.1–5035 o anteriores. Además de las actualizaciones de software correspondientes la compañía proporciona un workaround para la mitigación de la vulnerabilidad, que implicaría limitar el acceso a la gestión de los firewall a fuentes confiables o deshabilitar la gestión de WAN o SSLVPN desde Internet.

Aunque Rapid7 generaliza sobre la detección de la explotación del fallo de seguridad en ataques llevados a cabo por grupos de ransomware, Artic Wolf concreta indicando que afiliados de Akira habrían utilizado la vulnerabilidad para tomar el control de cuentas de usuario de SSLVPN en dispositivos de SonicWall.

En los ataques detectados las cuentas comprometidas eran locales a los dispositivos y no estaban integradas en una solución de autenticación centralizada como Active Directory de Microsoft. Adicionalmente el doble factor de autenticación no se encontraba habilitado para los usuarios afectados, según los investigadores de la compañía.

Fuentes y más información:

• https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/
• https://www.rapid7.com/blog/post/2024/09/09/etr-cve-2024-40766-critical-improper-access-control-vulnerability-affecting-sonicwall-devices/
• https://www.securityweek.com/critical-sonicwall-vulnerability-possibly-exploited-in-ransomware-attacks/
• https://therecord.media/cisa-orders-patching-of-sonicwall-bug-ransomware
• https://www.darkreading.com/ics-ot-security/akira-ransomware-actors-exploit-sonicwall-bug-for-rce
• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015
• https://www.cisa.gov/news-events/alerts/2024/09/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
• https://www.cve.org/CVERecord?id=CVE-2024-40766