AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El ransomware Akira explota la vulnerabilidad crítica CVE-2024-40766 en dispositivos SonicWall**

admin

### 1. Introducción

En las últimas semanas, se ha detectado un incremento significativo en los ataques dirigidos por el grupo de ransomware Akira, que está aprovechando la vulnerabilidad crítica CVE-2024-40766 para comprometer dispositivos SonicWall, ampliamente utilizados en entornos corporativos para la gestión de redes seguras. Esta campaña pone en jaque la seguridad de organizaciones de todos los tamaños y evidencia la importancia de la gestión proactiva de vulnerabilidades en infraestructuras críticas.

### 2. Contexto del Incidente o Vulnerabilidad

CVE-2024-40766 es una vulnerabilidad de control de acceso identificada en varios modelos de dispositivos SonicWall, particularmente en las versiones de firmware previas a la 9.0.2.7-34sv. Se trata de un fallo que permite a actores no autenticados eludir los mecanismos de autenticación y adquirir privilegios administrativos a través de la interfaz de gestión web.

El ransomware Akira, activo desde mediados de 2023 y responsable de múltiples ataques a entidades públicas y privadas, ha identificado en este vector una vía eficaz para el acceso inicial a redes corporativas, aprovechando que muchos dispositivos siguen expuestos en internet sin los parches de seguridad pertinentes.

### 3. Detalles Técnicos

La vulnerabilidad CVE-2024-40766 afecta principalmente a los dispositivos SonicWall Secure Mobile Access (SMA) 100 y 200, y se clasifica como crítica con una puntuación CVSS de 9.8. El fallo reside en un inadecuado control de acceso en la interfaz web, permitiendo la ejecución remota de comandos con privilegios elevados.

**TTPs MITRE ATT&CK asociadas:**

– **TA0001 (Initial Access):** Explotación de sistemas públicos.
– **T1190 (Exploit Public-Facing Application):** Uso de exploits contra aplicaciones expuestas.
– **TA0002 (Execution):** Ejecución remota de código.
– **TA0003 (Persistence):** Creación de cuentas y backdoors para mantener el acceso.

**Indicadores de compromiso (IoC):**

– Conexiones inusuales a la interfaz web de administración (puertos 443, 8443).
– Creación de cuentas administrativas no autorizadas.
– Actividad anómala en los logs de administración y cambios de configuración.

**Exploits conocidos:**

Se han identificado módulos en Metasploit y scripts de PoC (Proof of Concept) publicados en repositorios de GitHub, facilitando la explotación automatizada de la vulnerabilidad.

### 4. Impacto y Riesgos

El aprovechamiento de CVE-2024-40766 permite a los atacantes:

– Acceso total a la configuración del dispositivo y a las VPN corporativas.
– Movimientos laterales hacia redes internas, facilitando la exfiltración de datos y el despliegue de ransomware.
– Intercepción y manipulación de tráfico cifrado.
– Compromiso de credenciales de usuarios y administradores.

Según fuentes del sector, se estima que alrededor del 12% de los dispositivos SonicWall expuestos en internet siguen siendo vulnerables, lo que supone potencialmente miles de objetivos a nivel global. El coste medio de un incidente de ransomware se sitúa actualmente en 1,85 millones de dólares, según informes de 2024, sin contar sanciones derivadas del incumplimiento de normativas como la GDPR o NIS2.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** a la versión de firmware 9.0.2.7-34sv o superior.
– **Restricción del acceso** a la interfaz de administración web desde redes internas o direcciones IP de confianza exclusivamente.
– **Monitorización constante** de los logs de acceso y cambios de configuración.
– **Implementación de doble factor de autenticación** (2FA) para todos los accesos administrativos.
– **Despliegue de reglas IDS/IPS** específicas para detectar patrones de explotación conocidos.
– **Revisión periódica** de cuentas administrativas y eliminación de accesos no autorizados.

### 6. Opinión de Expertos

Según Javier Martín, analista senior de amenazas en una reconocida consultora de ciberseguridad:
*»El aprovechamiento de dispositivos perimetrales como SonicWall es una tendencia clara entre los grupos de ransomware. Muchas veces, estos dispositivos no se consideran parte del core crítico y quedan fuera de los ciclos regulares de parcheo, lo que ofrece una ventana de oportunidad a los atacantes. La explotación de CVE-2024-40766 por Akira evidencia la sofisticación y velocidad de adaptación de estos grupos ante nuevas vulnerabilidades.»*

### 7. Implicaciones para Empresas y Usuarios

Las empresas que utilicen SonicWall deben considerar estos dispositivos como activos críticos y aplicar los mismos estándares de seguridad que en otros sistemas claves. El compromiso de un solo dispositivo perimetral puede desencadenar una brecha masiva, con riesgos legales, operativos y reputacionales.
Ante la inminente entrada en vigor de la directiva NIS2, la falta de acción podría traducirse en sanciones económicas y responsabilidades personales para los responsables de seguridad.

Los usuarios deben ser conscientes de la importancia de la autenticación robusta y la restricción de accesos, mientras que los equipos de TI y de SOC deben revisar sus procedimientos de respuesta ante incidentes para incluir este vector de ataque.

### 8. Conclusiones

El ataque de Akira a través de CVE-2024-40766 marca un nuevo hito en la explotación de vulnerabilidades perimetrales. La rapidez con la que estos grupos actúan tras la publicación de un fallo crítico debe ser una llamada de atención para todos los profesionales del sector. Parchear, segmentar y monitorizar son elementos indispensables de una defensa eficaz frente a amenazas cada vez más sofisticadas y persistentes.

(Fuente: www.bleepingcomputer.com)