SonicWall ha desmentido oficialmente las especulaciones sobre el uso de una vulnerabilidad zero-day en los recientes ataques del ransomware Akira. Tras un análisis exhaustivo de 40 incidentes de seguridad, la compañía confirmó que los ciberdelincuentes aprovecharon una vulnerabilidad conocida y previamente parcheada en sus sistemas de firewall.
CVE-2024-40766: La Verdadera Puerta de Entrada
La investigación interna de SonicWall reveló que los operadores de Akira explotaron la vulnerabilidad CVE-2024-40766, identificada y corregida en agosto de 2024. Esta falla crítica afecta el sistema de gestión de acceso SSL VPN en el sistema operativo SonicOS, permitiendo a los atacantes obtener acceso no autorizado a redes corporativas protegidas.
Según los representantes de SonicWall: «La actividad reciente en torno a SSL VPN no estuvo relacionada con una vulnerabilidad de día cero. Existe una correlación evidente con el problema CVE-2024-40766, documentado públicamente en el boletín SNWLID-2024-0015».
Metodología del Ataque y Vectores de Compromiso
La vulnerabilidad crítica permite a los ciberdelincuentes interceptar sesiones de usuario activas y obtener acceso VPN a infraestructuras corporativas sin necesidad de credenciales válidas. Tras su divulgación pública en 2024, esta brecha ha sido activamente explotada por múltiples grupos de ransomware, incluyendo Akira y Fog.
El 15 de julio de 2025, analistas de Arctic Wolf detectaron una oleada de ataques Akira dirigidos específicamente a firewalls SonicWall de séptima generación. Inicialmente, los expertos sospecharon del uso de una vulnerabilidad desconocida, lo que llevó a recomendaciones de desactivación temporal de servicios SSL VPN.
Errores de Migración: El Talón de Aquiles
El factor más crítico identificado por SonicWall fue que la mayoría de ataques exitosos resultaron de procesos de migración incorrectos desde firewalls de sexta a séptima generación. El error fundamental consistió en transferir contraseñas de usuarios locales sin realizar el reseteo posterior obligatorio.
Los expertos de SonicWall explican: «Muchos incidentes están vinculados a migraciones donde las contraseñas de usuarios locales fueron transferidas sin ser reseteadas. El reseteo de contraseñas era un requisito de seguridad clave especificado en el boletín original».
Medidas de Mitigación y Protección
Para prevenir futuros ataques, SonicWall recomienda implementar inmediatamente las siguientes medidas de seguridad:
Actualización de firmware a la versión 7.3.0 o posterior, que incorpora autenticación multifactor reforzada y protección contra ataques de fuerza bruta. Reseteo obligatorio de todas las contraseñas de usuarios locales, especialmente para cuentas con acceso SSL VPN.
Controversia en la Comunidad IT
Los usuarios en comunidades especializadas expresan escepticismo respecto a las declaraciones oficiales de SonicWall. Varios administradores de sistemas reportan compromisos en cuentas creadas después de la migración a dispositivos de séptima generación, contradiciendo la versión oficial del fabricante.
Este incidente subraya la importancia crítica de mantener actualizados los sistemas de seguridad y seguir estrictamente las recomendaciones del fabricante durante procesos de migración. Las organizaciones deben implementar auditorías regulares de sus sistemas de protección y remediar inmediatamente las vulnerabilidades conocidas para prevenir ataques de ransomware exitosos. La gestión proactiva de parches y la configuración segura de sistemas críticos siguen siendo pilares fundamentales en cualquier estrategia de ciberseguridad efectiva.
