SonicWall ha desmentido oficialmente las especulaciones sobre el uso de una vulnerabilidad zero-day en los recientes ataques del ransomware Akira. Tras un an谩lisis exhaustivo de 40 incidentes de seguridad, la compa帽铆a confirm贸 que los ciberdelincuentes aprovecharon una vulnerabilidad conocida y previamente parcheada en sus sistemas de firewall.
CVE-2024-40766: La Verdadera Puerta de Entrada
La investigaci贸n interna de SonicWall revel贸 que los operadores de Akira explotaron la vulnerabilidad CVE-2024-40766, identificada y corregida en agosto de 2024. Esta falla cr铆tica afecta el sistema de gesti贸n de acceso SSL VPN en el sistema operativo SonicOS, permitiendo a los atacantes obtener acceso no autorizado a redes corporativas protegidas.
Seg煤n los representantes de SonicWall: 芦La actividad reciente en torno a SSL VPN no estuvo relacionada con una vulnerabilidad de d铆a cero. Existe una correlaci贸n evidente con el problema CVE-2024-40766, documentado p煤blicamente en el bolet铆n SNWLID-2024-0015禄.
Metodolog铆a del Ataque y Vectores de Compromiso
La vulnerabilidad cr铆tica permite a los ciberdelincuentes interceptar sesiones de usuario activas y obtener acceso VPN a infraestructuras corporativas sin necesidad de credenciales v谩lidas. Tras su divulgaci贸n p煤blica en 2024, esta brecha ha sido activamente explotada por m煤ltiples grupos de ransomware, incluyendo Akira y Fog.
El 15 de julio de 2025, analistas de Arctic Wolf detectaron una oleada de ataques Akira dirigidos espec铆ficamente a firewalls SonicWall de s茅ptima generaci贸n. Inicialmente, los expertos sospecharon del uso de una vulnerabilidad desconocida, lo que llev贸 a recomendaciones de desactivaci贸n temporal de servicios SSL VPN.
Errores de Migraci贸n: El Tal贸n de Aquiles
El factor m谩s cr铆tico identificado por SonicWall fue que la mayor铆a de ataques exitosos resultaron de procesos de migraci贸n incorrectos desde firewalls de sexta a s茅ptima generaci贸n. El error fundamental consisti贸 en transferir contrase帽as de usuarios locales sin realizar el reseteo posterior obligatorio.
Los expertos de SonicWall explican: 芦Muchos incidentes est谩n vinculados a migraciones donde las contrase帽as de usuarios locales fueron transferidas sin ser reseteadas. El reseteo de contrase帽as era un requisito de seguridad clave especificado en el bolet铆n original禄.
Medidas de Mitigaci贸n y Protecci贸n
Para prevenir futuros ataques, SonicWall recomienda implementar inmediatamente las siguientes medidas de seguridad:
Actualizaci贸n de firmware a la versi贸n 7.3.0 o posterior, que incorpora autenticaci贸n multifactor reforzada y protecci贸n contra ataques de fuerza bruta. Reseteo obligatorio de todas las contrase帽as de usuarios locales, especialmente para cuentas con acceso SSL VPN.
Controversia en la Comunidad IT
Los usuarios en comunidades especializadas expresan escepticismo respecto a las declaraciones oficiales de SonicWall. Varios administradores de sistemas reportan compromisos en cuentas creadas despu茅s de la migraci贸n a dispositivos de s茅ptima generaci贸n, contradiciendo la versi贸n oficial del fabricante.
Este incidente subraya la importancia cr铆tica de mantener actualizados los sistemas de seguridad y seguir estrictamente las recomendaciones del fabricante durante procesos de migraci贸n. Las organizaciones deben implementar auditor铆as regulares de sus sistemas de protecci贸n y remediar inmediatamente las vulnerabilidades conocidas para prevenir ataques de ransomware exitosos. La gesti贸n proactiva de parches y la configuraci贸n segura de sistemas cr铆ticos siguen siendo pilares fundamentales en cualquier estrategia de ciberseguridad efectiva.
