Vulnerabilidad Crítica en Dispositivos SonicWall: CVE-2024-40766

Un simple descuido en las actualizaciones de seguridad puede abrir la puerta a un desastre. Así es como el ransomware Akira está causando estragos, aprovechando una vulnerabilidad crítica recientemente parcheada en los dispositivos SonicWall, identificada como CVE-2024-40766 que afecta tanto a la función SSLVPN como al acceso de administración en SonicOS.

Al aprovechar esta vulnerabilidad, los atacantes pueden tomar control de dispositivos SonicWall no parcheados, obteniendo acceso no autorizado a cuentas e incluso ejecutando código malicioso. SonicWall ya ha lanzado una advertencia urgente, instando a los administradores a aplicar los parches y fortalecer las medidas de seguridad lo antes posible para evitar mayores daños.

¿Qué es la vulnerabilidad CVE-2024-40766?

CVE-2024-40766, con un puntaje de 9.3 en el sistema CVSS, es una vulnerabilidad crítica que afecta los firewalls de SonicWall. Inicialmente, se pensaba que solo comprometía el acceso de administración, pero investigaciones más recientes revelaron que también impacta la función SSLVPN, lo que hace que la situación sea aún más preocupante.

Esta falla permite a los atacantes obtener acceso no autorizado a los recursos protegidos por el firewall e incluso puede causar que el dispositivo se bloquee, dejando la red sin defensa. Dada la gravedad de la vulnerabilidad y el hecho de que ya está siendo activamente explotada por ciberdelincuentes, es vital que las organizaciones afectadas apliquen las actualizaciones y medidas de seguridad lo antes posible.

Conoce más sobre:  SOCRadar: Plataforma de Monitoreo de la Dark Web y Ciberseguridad

¿Qué productos y versiones de SonicWall están afectados por CVE-2024-40766?

Se ha confirmado que los siguientes productos y versiones de SonicWall están afectados por la vulnerabilidad CVE-2024-40766:

1. SonicWall Gen 5 con SonicOS versión 5.9.2.14-12o y anteriores.
   
   
2. SonicWall Gen 6 con SonicOS versión 6.5.4.14-109n y anteriores.
   
   
3. SonicWall Gen 7 con SonicOS versión 7.0.1-5035 y anteriores.

Esta vulnerabilidad afecta a una gran cantidad de dispositivos expuestos en internet, lo que representa un amplio terreno para posibles ataques, por lo que es fundamental que las organizaciones actualicen sus dispositivos lo antes posible.

Conoce más sobre: Pentesting vs Análisis de Vulnerabilidades

¿Cómo el ransomware Akira explotó la vulnerabilidad SSLVPN de SonicWall?

Después de que SonicWall anunciara la vulnerabilidad CVE-2024-40766 a fines de agosto de 2024, el 6 de septiembre actualizaron su aviso para confirmar que la falla también afectaba tanto el acceso de administración como las cuentas locales de SSLVPN. Lo preocupante es que los atacantes ya han comenzado a aprovechar esta vulnerabilidad.

Investigadores señalaron que el grupo Akira Ransomware ha utilizado esta falla como puerta de entrada, comprometiendo cuentas de usuario SSLVPN en dispositivos SonicWall. Los ciberdelincuentes se enfocaron en cuentas locales que no estaban conectadas a sistemas de autenticación centralizados, como Microsoft Active Directory, y explotaron la falta de autenticación multifactor (MFA) en dichas cuentas.

¿Qué es el ransomware Akira?

El ransomware Akira apareció por primera vez en marzo de 2023 y ha afectado tanto a sistemas Windows como Linux. Este grupo opera bajo un modelo de ransomware como servicio (RaaS), ofreciendo su software a otros atacantes a cambio de una comisión sobre los pagos de rescate. Akira sigue una estrategia de doble extorsión: primero roban datos y luego cifran los sistemas infectados. Este grupo se dirige principalmente a grandes empresas en América del Norte, Europa y Australia. 

Podría interesarte leer: Nissan Australia Sufre Ataque del Ransomware Akira

Actualiza SonicOS

Para reducir el riesgo asociado con la vulnerabilidad CVE-2024-40766, SonicWall recomienda encarecidamente a los administradores de sistemas que sigan estos pasos clave:

1. Actualizar SonicOS al último firmware

Actualizar tu SonicOS es la mejor forma de solucionar el problema. A continuación, te indicamos las versiones que incluyen la corrección para esta vulnerabilidad:

1. Dispositivos Gen 5: La vulnerabilidad se ha corregido en la versión 5.9.2.14-13o de SonicOS.
   
   
2. Dispositivos Gen 6: La solución está disponible en la versión 6.5.2.8-2n para modelos específicos como el SM9800, NSsp 12400 y NSsp 12800. Para otros firewalls Gen 6, la vulnerabilidad se ha resuelto en la versión 6.5.4.15-116n.
   
   
3. Dispositivos Gen 7: A partir de la versión 7.0.1-5035, la vulnerabilidad no es replicable. Actualizar a esta o versiones posteriores garantiza una protección completa.

2. Medidas temporales para mitigar el impacto si no puedes actualizar de inmediato

Si por alguna razón no puedes aplicar las actualizaciones de inmediato, estas medidas pueden ayudarte a reducir el riesgo mientras tanto:

1. Limitar el acceso de administración: Restringe el acceso administrativo solo a fuentes confiables y, si es posible, desactiva el acceso desde Internet al portal de administración de WAN.
   
   
2. Restringir SSLVPN: Limita el uso de SSLVPN solo a usuarios confiables, o desactívalo si no es necesario.

3. Otras recomendaciones importantes

1. Administración de contraseñas: Si usas dispositivos Gen 5 o Gen 6, asegúrate de que los usuarios de SSLVPN con cuentas locales cambien sus contraseñas de inmediato. Activa la opción "El usuario debe cambiar la contraseña" para reforzar la seguridad en las cuentas locales.
   
   
2. Habilitar autenticación multifactor (MFA): Implementa MFA para todos los usuarios de SSLVPN utilizando opciones como TOTP o códigos de un solo uso (OTP) por correo electrónico para aumentar la seguridad.
   
   
3. Monitoreo continuo: Supervisa constantemente cualquier actividad sospechosa y asegúrate de estar listo para actuar en caso de una amenaza.

Tomar estas medidas de manera oportuna puede hacer una gran diferencia en la seguridad de tu red, especialmente frente a amenazas activas como el ransomware Akira.