A SonicWall veio a público negar que os recentes ataques de ransomware Akira, que têm como alvo as suas firewalls Gen 7 com SSLVPN ativado, estejam a explorar uma vulnerabilidade desconhecida (zero-day). A empresa afirma agora, com um elevado grau de confiança, que os atacantes estão a aproveitar-se de uma falha antiga e já corrigida, apontando responsabilidades para uma má gestão por parte dos administradores de sistemas.
Inicialmente, a comunidade de cibersegurança, incluindo os investigadores da Arctic Wolf Labs, levantou a hipótese de se tratar de um novo ataque zero-day, levando a SonicWall a aconselhar os seus clientes a desativar os serviços de SSL VPN como medida de precaução.
O dedo apontado a uma vulnerabilidade antiga
Numa atualização ao seu boletim de segurança, a SonicWall esclarece que a atividade maliciosa está, na verdade, ligada a uma falha corrigida em agosto de 2024. A empresa aponta para a exploração da CVE-2024-40766, uma vulnerabilidade crítica de controlo de acesso no SSLVPN do SonicOS.
Esta falha, quando explorada, permite que um atacante não autenticado tenha acesso a pontos de extremidade vulneráveis, podendo sequestrar sessões ou obter acesso VPN a ambientes de rede protegidos. No passado, esta mesma vulnerabilidade foi amplamente utilizada por grupos de ransomware como o próprio Akira e o Fog para violar redes empresariais.
A migração de Gen 6 para Gen 7 no centro do problema
Após investigar cerca de 40 incidentes, a SonicWall concluiu que os ataques estão a ter sucesso em endpoints que não seguiram as recomendações de mitigação aquando da migração das firewalls da geração 6 para a 7.
Segundo a empresa, "muitos dos incidentes estão relacionados com migrações de firewalls Gen 6 para Gen 7, onde as palavras-passe dos utilizadores locais foram transferidas durante a migração e não foram repostas". A reposição das palavras-passe era um passo "crítico delineado no aviso original".
As medidas recomendadas pela SonicWall
Para se protegerem, a SonicWall insiste que os administradores devem tomar medidas imediatas e cruciais:
Atualizar o firmware para a versão 7.3.0 ou posterior, que inclui proteções mais robustas contra ataques de força bruta e para a autenticação multifator (MFA).
Repor todas as palavras-passe de utilizadores locais, com especial atenção para aquelas utilizadas para acesso SSLVPN.
Utilizadores no Reddit contestam a versão oficial
Apesar do esclarecimento da SonicWall, a comunidade tecnológica não está totalmente convencida. No Reddit, vários administradores de sistemas expressaram dúvidas sobre a veracidade das alegações da empresa.
Alguns utilizadores afirmam ter sofrido violações de segurança em contas que foram criadas já depois da migração para as firewalls Gen 7, o que contradiz a teoria da SonicWall. Outros chegam mesmo a alegar que a empresa se recusou a examinar os seus logs para investigação.
Estes relatos contraditórios, aliados à linguagem por vezes ambígua da SonicWall, deixam um rasto de incerteza. Independentemente da origem exata da exploração, a recomendação é clara: a vigilância e a aplicação imediata das medidas de segurança são fundamentais.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech