AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Aumentan los Ataques de Akira Ransomware: SonicWall Investiga un Posible Zero-Day en Firewalls Gen 7

admin

Introducción

En los últimos días, la comunidad de ciberseguridad ha sido alertada por un incremento significativo de incidentes relacionados con ransomware Akira que afectan a dispositivos de seguridad perimetral SonicWall, especialmente a los firewalls de la serie Gen 7 con la funcionalidad SSLVPN habilitada. La propia SonicWall ha confirmado que está investigando activamente si este repunte de ataques podría estar relacionado con una vulnerabilidad zero-day hasta ahora desconocida. El potencial impacto de este vector de ataque es especialmente preocupante para responsables de seguridad (CISOs), analistas SOC y administradores de redes, dada la popularidad de estos dispositivos en entornos corporativos.

Contexto del Incidente o Vulnerabilidad

Durante las últimas 72 horas, SonicWall ha registrado un aumento tanto en reportes internos como externos de incidentes de seguridad que afectan a sus dispositivos Gen 7 equipados con SSLVPN. Este patrón coincide con una oleada de ataques atribuidos al grupo de ransomware Akira, conocido por focalizar sus campañas en la explotación de activos expuestos en Internet y en la utilización de credenciales comprometidas.

No es la primera vez que dispositivos de seguridad perimetral se convierten en objetivo de actores de amenaza avanzados, y en los últimos meses, los firewalls SSLVPN han sido blanco recurrente de exploits, aprovechando vulnerabilidades como CVE-2024-3400 (Palo Alto) o CVE-2024-21887 (Ivanti). Sin embargo, hasta la fecha, no se ha confirmado la existencia de un CVE específico para esta potencial brecha en SonicWall.

Detalles Técnicos

Aunque SonicWall no ha publicado todavía detalles técnicos específicos sobre la supuesta vulnerabilidad zero-day, los primeros análisis de incidentes apuntan a que el vector de ataque podría estar relacionado con la interfaz SSLVPN expuesta en dispositivos Gen 7, específicamente en versiones de firmware lanzadas antes de julio de 2025. La posible explotación permitiría a los atacantes ejecutar código arbitrario o evadir mecanismos de autenticación para obtener acceso a la red interna.

Las tácticas, técnicas y procedimientos (TTP) observados encajan con los identificadores MITRE ATT&CK T1190 (Exploitation of Remote Services) y T1078 (Valid Accounts). Los indicadores de compromiso (IoC) incluyen conexiones inusuales a los puertos 443 y 8443, aparición de nuevos servicios persistentes y actividad anómala en logs de acceso remoto.

Por otra parte, los primeros análisis forenses han detectado el uso de herramientas como Cobalt Strike y scripts automatizados para el despliegue de payloads, así como el empleo de variantes personalizadas del ransomware Akira. Se han observado intentos de explotación mediante solicitudes HTTP/S especialmente manipuladas, aunque aún no se ha hecho público un exploit funcional en frameworks como Metasploit.

Impacto y Riesgos

El impacto potencial de esta amenaza es elevado, dado que los firewalls afectados suelen proteger redes corporativas de tamaño medio y grande, y la exposición de SSLVPN es habitual para permitir el trabajo remoto. Según estimaciones iniciales, hasta un 14% del parque instalado de SonicWall Gen 7 podría estar vulnerable, lo que podría traducirse en miles de organizaciones en riesgo a nivel global.

El acceso no autorizado a través de esta vulnerabilidad permitiría la propagación lateral, la exfiltración de datos confidenciales y la interrupción de operaciones críticas mediante el cifrado de sistemas esenciales. El alcance del daño puede verse agravado por el cumplimiento normativo (GDPR, NIS2), exponiendo a las empresas a sanciones económicas significativas y a la obligatoriedad de notificar brechas de datos.

Medidas de Mitigación y Recomendaciones

Mientras SonicWall continúa con su investigación y el posible desarrollo de un parche, se recomienda aplicar de inmediato las siguientes medidas de mitigación:

– Deshabilitar temporalmente la funcionalidad SSLVPN en los dispositivos Gen 7 si no es estrictamente necesaria.
– Restringir el acceso mediante listas blancas de IP y MFA robusto.
– Revisar y actualizar el firmware a la última versión disponible y monitorizar futuros avisos de SonicWall.
– Analizar los logs en busca de patrones de acceso anómalos o intentos de autenticación fallida.
– Implementar segmentación de red para limitar el movimiento lateral en caso de compromiso.

Opinión de Expertos

Los analistas de amenazas consideran que el creciente interés de grupos de ransomware en dispositivos perimetrales responde a la efectividad de estos vectores para eludir medidas tradicionales de defensa. Según el equipo de respuesta a incidentes de una multinacional europea, «los dispositivos de seguridad, si no están correctamente monitorizados y actualizados, se convierten en puertas de entrada privilegiadas». Otros expertos subrayan la importancia de la monitorización continua y la gestión proactiva de vulnerabilidades como factores clave en la reducción del riesgo.

Implicaciones para Empresas y Usuarios

Las empresas que dependen de SonicWall Gen 7 para el acceso seguro de usuarios remotos deben revisar urgentemente sus políticas de exposición y asegurarse de que los dispositivos estén configurados siguiendo las mejores prácticas de hardening. La posible explotación de una vulnerabilidad zero-day supone un desafío adicional para equipos SOC y responsables de cumplimiento, especialmente en sectores regulados donde la protección de datos personales es prioritaria.

Asimismo, se observa una tendencia creciente en la explotación de dispositivos perimetrales por parte de ransomware, lo que refuerza la necesidad de incluir este tipo de activos en los programas de gestión de vulnerabilidades.

Conclusiones

El aumento de los ataques de Akira ransomware mediante potenciales zero-days en SonicWall Gen 7 pone de manifiesto la criticidad de los dispositivos de seguridad perimetral y la necesidad de una vigilancia constante sobre su superficie de ataque. A la espera de confirmación oficial y de la publicación de un parche, la aplicación de medidas de mitigación y la monitorización proactiva son esenciales para reducir el riesgo de compromiso y proteger la continuidad del negocio.

(Fuente: feeds.feedburner.com)