Sonicwall dijo que está investigando activamente informes para determinar si hay una nueva vulnerabilidad de día cero después de los informes de un pico en los actores de ransomware de Akira a fines de julio de 2025.
«En las últimas 72 horas, ha habido un aumento notable en los incidentes cibernéticos informados internamente y externamente que involucran firewalls de Sonicwall Gen 7 donde se habilita SSLVPN», dijo el proveedor de seguridad de la red en un comunicado.
«Estamos investigando activamente estos incidentes para determinar si están conectados a una vulnerabilidad revelada previamente o si una nueva vulnerabilidad puede ser responsable».
Mientras Sonicwall está cavando más profundo, se recomienda a las organizaciones que usan los firewalls de Sonicwall Gen 7 que sigan los pasos a continuación hasta un aviso adicional –
- Deshabilitar los servicios de SSL VPN donde sea práctico
- Limite la conectividad SSL VPN a las direcciones IP confiables
- Activar servicios como protección de botnet y filtrado GEO-IP
- Hacer cumplir la autenticación multifactor
- Eliminar cuentas de usuario locales inactivas o no utilizadas en el firewall, particularmente aquellas con acceso SSL VPN
- Fomentar las actualizaciones de contraseña regulares en todas las cuentas de usuario
El desarrollo se produce poco después de que Arctic Wolf revelara que había identificado un aumento en la actividad de ransomware de Akira dirigido a dispositivos VPN Sonicwall SSL para el acceso inicial desde finales del mes pasado.
Huntress, en un análisis de seguimiento publicado el lunes, también dijo que ha observado que los actores de amenaza giran directamente a los controladores de dominio simplemente unas pocas horas después de la violación inicial.
Las cadenas de ataque comienzan con la violación del aparato de Sonicwall, seguido por los atacantes que toman un camino «muy usado» posterior a la explotación para llevar a cabo la enumeración, la evasión de detección, el movimiento lateral y el robo de credenciales.
Los incidentes también involucran a los malos actores que deshabilitan metódicamente los antivirus de defensor de Microsoft y eliminan las copias de volumen en la sombra antes de implementar el ransomware Akira.
Huntress dijo que detectó alrededor de 20 ataques diferentes vinculados a la última onda de ataque a partir del 25 de julio de 2025, con variaciones observadas en la artesanía utilizada para lograrlos, incluso en el uso de herramientas para el reconocimiento y la persistencia, como AnyDesk, Screenconnect o SSH.
Hay evidencia que sugiere que la actividad puede limitarse a los firewalls de Sonicwall de la serie NSA con SSL VPN habilitados, y que el defecto sospechoso existe en las versiones de firmware 7.2.0-7015 y anteriores.
«La velocidad y el éxito de estos ataques, incluso contra los entornos con MFA habilitados, sugieren fuertemente que se está explotando una vulnerabilidad del día cero en la naturaleza», dijo la compañía de seguridad cibernética. «Esta es una amenaza crítica y continua».