AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Más de un centenar de cuentas SonicWall SSLVPN comprometidas en campaña masiva con credenciales robadas

admin

Introducción

En las últimas semanas, investigadores en ciberseguridad han detectado una campaña de gran escala dirigida contra infraestructuras protegidas con SonicWall SSLVPN. Actores maliciosos han conseguido comprometer más de 100 cuentas de acceso remoto aprovechando credenciales legítimas sustraídas, lo que supone un grave riesgo para la seguridad de múltiples organizaciones a nivel global. Este incidente pone de manifiesto la eficacia de los ataques basados en credenciales y la creciente sofisticación de las tácticas empleadas para burlar los sistemas de defensa perimetral tradicionales.

Contexto del Incidente

SonicWall, reconocido por sus soluciones de seguridad perimetral, es ampliamente utilizado en entornos corporativos para habilitar el acceso remoto seguro mediante SSLVPN. Sin embargo, las VPNs se han convertido en objetivos preferentes para los atacantes, especialmente tras el auge del teletrabajo y la exposición de servicios críticos a Internet. La campaña detectada afecta a versiones recientes de dispositivos SonicWall, incluidas las ramas de firmware 9.x y 10.x, aunque no se descarta que versiones anteriores también puedan estar comprometidas.

Según los investigadores, la actividad maliciosa comenzó a intensificarse a mediados de mayo de 2024, con picos de intentos de acceso no autorizado y movimientos laterales detectados en infraestructuras de sectores financiero, industrial, salud y administración pública, principalmente en Europa y Norteamérica. Es relevante destacar que la campaña se ha caracterizado por el uso exclusivo de credenciales válidas previamente robadas, sin evidencia de explotación de vulnerabilidades de día cero.

Detalles Técnicos

La campaña, catalogada bajo el TTP «Valid Accounts» (ID: T1078) del framework MITRE ATT&CK, se apoya en el uso de credenciales legítimas para acceder a portales SSLVPN expuestos. Los actores de amenaza emplean técnicas de fuerza bruta y relleno de credenciales (“credential stuffing”), apoyándose en listas de contraseñas filtradas en anteriores brechas de datos.

Una vez obtenida la autenticación, los atacantes despliegan herramientas de post-explotación como Cobalt Strike y Metasploit para establecer persistencia y facilitar el movimiento lateral en la red interna. Se han observado indicadores de compromiso (IoC) tales como conexiones desde direcciones IP inusuales, actividad fuera de horario laboral y la utilización de agentes “beacon” asociados a Cobalt Strike.

No se han reportado exploits de CVE específicos en este incidente, aunque el uso de credenciales robadas sugiere una carencia de autenticación multifactor (MFA) o una mala gestión de políticas de contraseñas. SonicWall ha publicado alertas recomendando la revisión de logs de acceso y la monitorización de comportamientos anómalos en los servicios SSLVPN.

Impacto y Riesgos

El compromiso de cuentas VPN representa una amenaza crítica para la confidencialidad e integridad de los sistemas corporativos. Una vez dentro de la red, los atacantes pueden exfiltrar información sensible, desplegar ransomware o instalar backdoors para accesos futuros. Se estima que la campaña ha impactado a más de 100 organizaciones, con pérdidas potenciales que podrían superar los 10 millones de euros en costes de recuperación, sanciones regulatorias y daño reputacional.

El riesgo es especialmente elevado para entidades sujetas a normativas como el GDPR y la próxima directiva NIS2, que exige la notificación de incidentes y la implementación de controles técnicos reforzados. La exposición prolongada de accesos VPN sin MFA puede derivar en infracciones graves y sanciones económicas que oscilan entre el 2% y el 4% del volumen de negocio anual.

Medidas de Mitigación y Recomendaciones

Para reducir el riesgo asociado a este tipo de ataques, los expertos recomiendan:

– Activar obligatoriamente la autenticación multifactor en todos los accesos VPN.
– Revisar y rotar credenciales en uso, especialmente aquellas asociadas a cuentas privilegiadas.
– Monitorizar los logs de acceso y configurar alertas frente a patrones anómalos (ubicaciones geográficas, horarios, etc.).
– Implementar políticas de contraseñas robustas y exigir su renovación periódica.
– Limitar el acceso VPN solo a usuarios y direcciones IP autorizadas mediante reglas de firewall.
– Mantener los dispositivos SonicWall y sus firmwares actualizados con los últimos parches de seguridad.
– Realizar auditorías regulares de configuración y pruebas de intrusión orientadas a VPN.

Opinión de Expertos

Analistas de ciberinteligencia coinciden en que la explotación de credenciales válidas seguirá siendo una de las técnicas más efectivas para la intrusión inicial, dada la persistente falta de MFA en muchas organizaciones. Según Raúl Fernández, CISO de una entidad bancaria: “Las VPNs son el eslabón débil si las medidas de autenticación no evolucionan. La segmentación de red y el Zero Trust se vuelven imprescindibles ante este panorama”.

Por su parte, SonicWall ha reiterado que “la seguridad por defecto no es suficiente; es imprescindible adoptar una postura proactiva de defensa en profundidad y concienciación continua del usuario”.

Implicaciones para Empresas y Usuarios

El incidente subraya la urgencia de revisar las estrategias de acceso remoto en grandes y medianas empresas, así como en organismos públicos. La dependencia de credenciales estáticas, sumada a la reutilización de contraseñas, amplifica la superficie de ataque. Los usuarios deben ser formados en la gestión segura de contraseñas y las organizaciones deben acelerar la adopción de soluciones de gestión de identidades y acceso (IAM).

Los equipos SOC y de respuesta a incidentes deben actualizar sus procedimientos de detección y erradicación frente a TTPs basados en cuentas válidas, integrando inteligencia de amenazas y correlación avanzada de eventos.

Conclusiones

La campaña masiva dirigida contra SonicWall SSLVPN ilustra la efectividad de los ataques basados en el abuso de credenciales legítimas y la necesidad de reforzar los controles de acceso remoto. La adopción de MFA, la monitorización proactiva y la concienciación del usuario son pilares fundamentales para mitigar estos riesgos. A medida que los atacantes perfeccionan sus métodos, solo una defensa adaptativa y en profundidad permitirá a las organizaciones mantenerse un paso por delante.

(Fuente: www.bleepingcomputer.com)