El grupo de ransomware Akira apunta a cuentas VPN de SonicWall


Este artículo se actualizó por última vez el 10 de septiembre de 2010.

La pandilla de ransomware Akira puede estar explotando una vulnerabilidad crítica de ejecución remota de código que permite a los actores de amenazas comprometer cuentas VPN SSL de SonicWall y obtener acceso a dispositivos de firewall.

En un boletín de seguridad publicado el viernes, el investigador senior de inteligencia de amenazas de Arctic Wolf, Stefan Hostetler, advierte a los usuarios que los atacantes del ransomware Akira están apuntando a dispositivos SonicWall a través de cuentas VPN SSL comprometidas. Según Hostetler, estos dispositivos se ven afectados por CVE-2024-40766, una vulnerabilidad de control de acceso inadecuado en SonicOS. La explotación de esta falla con una puntuación CVSS de 9,3 permite a un atacante obtener acceso no autorizado a los dispositivos de firewall SonicWall Gen 5 y Gen 6, y a las versiones Gen 7 7.0.1-5035 y anteriores.

“En cada caso, las cuentas comprometidas se almacenaron localmente en el propio dispositivo, en lugar de integrarse en una solución de autenticación central como Microsoft Active Directory”, dijo Hostetler en el boletín de seguridad. “Además, MFA se deshabilitó en todas las cuentas comprometidas y el firmware de SonicOS en los dispositivos afectados estaba dentro de una versión que se sabía que era vulnerable a CVE-2024-40766”.

Se sabe que Akira apunta a VPN vulnerables, por lo que aplicar parches es esencial. CISA publicó un informe a principios de este año que muestra que el grupo criminal ganó aproximadamente 42 millones de dólares de más de 250 víctimas, muchas de las cuales apuntaban a las VPN de Cisco.

SonicWall reveló por primera vez CVE-2024-40766 el 22 de agosto y recomendó a los usuarios que actualizaran a una versión reparada. Arctic Wolf dijo que en el momento de la publicación, no había informes de explotación real o prueba de concepto. Arctic Wolf advirtió en un boletín de seguridad separado el 27 de agosto que los cortafuegos SonicWall son “ampliamente utilizados en entornos corporativos” y son blancos fáciles para los atacantes.

Arctic Wolf ahora confirma que la actividad de amenazas contra la vulnerabilidad de SonicOS continúa ya que los dispositivos siguen sin parchear dos semanas después de que se hizo pública. SonicWall también ha actualizado su aviso de seguridad para CVE-2024-40766 para señalar que puede explotarse en estado salvaje. Además, CISA agregó CVE-2024-40766 a su catálogo de vulnerabilidades conocidas el lunes. Esto significa que las agencias federales tienen hasta finales de este mes para actualizar a la versión corregida.

Dan Schiappa, director de productos y servicios de Arctic Wolf, dijo que es difícil decir con certeza que CVE-2024-40766 fue el vector de ataque inicial y que la compañía todavía está investigando la actividad. Schiappa dijo que uno de los problemas al identificar este tipo de actividad es que la falta de visibilidad de los firewalls y la telemetría de VPN no necesariamente deja un rastro claro de abuso.

“Sin embargo, cuando se analiza retrospectivamente, alguna evidencia circunstancial sugiere que SonicWall es un factor. El aviso de vulnerabilidad de SonicWall (CVE-2024-40766) mencionado aquí se publicó el viernes pasado. “Se actualizó para indicar que la vulnerabilidad está siendo explotada activamente”, dijo en un correo electrónico. “Antes de eso, una actualización del 28 de agosto mostró que el alcance se había ampliado con respecto a la divulgación original y estaba vinculado a la actividad SSLVPN”.

Arctic Wolf cree que la posible explotación podría haber comenzado ya en la primera semana de agosto. Sin embargo, se desconoce el número de organizaciones afectadas.

“Desafortunadamente, uno de los principales desafíos al explotar las vulnerabilidades relacionadas con las VPN es la falta de visibilidad de la gran cantidad de organizaciones a las que se dirigen los exploits”, dijo Schiappa. “SonicWall ha actualizado sus avisos de seguridad, brindando a nuestro equipo una imagen más clara de la naturaleza de las vulnerabilidades que enfrentan. Sin embargo, CISA ha agregado CVE-2024-40766 al catálogo de KEV. Esperamos escuchar más noticias en las próximas semanas. son indicios de que el exploit puede estar activo.

Arctic Wolf instó a los usuarios a actualizar SonicOS a la última versión y restablecer todas las contraseñas de las cuentas VPN SSL para las cuentas administradas localmente. El proveedor de seguridad también recomienda implementar MFA para todas las cuentas VPN SSL locales. “Para minimizar el impacto potencial, SonicWall recomienda limitar la administración del firewall a fuentes confiables o deshabilitar la administración de la WAN del firewall desde el acceso a Internet”, dice el boletín.

A principios de este año, la compañía de seguros cibernéticos Coalition publicó un informe de reclamaciones basado en reclamaciones de asegurados estadounidenses en 2023. Shelley Ma, líder de respuesta a incidentes de la Coalición, detalló el informe a TechTarget Editorial y dijo que los cortafuegos de SonicWall suelen ser el objetivo de los actores de amenazas. De manera similar, la Coalición dijo en 2022 que los productos SonicWall podrían generar primas de seguro más altas para los clientes debido a la gran cantidad de vulnerabilidades explotadas por los atacantes.

Actualización: en una declaración a TechTarget Editorial, el vicepresidente de ingeniería de software de SonicWall, Shane O'Hanlon, dijo: “SonicWall es consciente de la correlación entre CVE y los ataques del grupo de ransomware Akira”. Continuaremos monitoreando y respondiendo activamente a las amenazas emergentes. , incluidos aquellos directamente relacionados con el grupo de artículos.”

Arielle Waldman es redactora de noticias de TechTarget Editorial que cubre la seguridad empresarial.


https://www.techtarget.com/searchsecurity/news/366610233/Akira-ransomware-gang-targeting-SonicWall-VPN-accounts