La vulnerabilidad CVE-2024-40766, con puntaje CVSS de 9.3, afecta a dispositivos firewall de SonicWall. Se trata de un problema de control de acceso inadecuado, que puede permitir a atacantes acceder a recursos restringidos e incluso provocar la caída del dispositivo. Aunque la compañía publicó un aviso en agosto de 2024 y ha emitido recomendaciones adicionales, el fallo continúa siendo explotado en nuevas campañas.
Akira combina múltiples vectores de ataque
De acuerdo con investigadores, el grupo de ransomware Akira no solo aprovecha esta vulnerabilidad, sino que también se apoya en otras dos superficies de ataque:
El SSLVPN Default Users Group, que permite conexiones no autorizadas a la VPN.
El acceso al Virtual Office Portal, que a menudo está configurado como público.
La combinación de estas tres vías incrementa la efectividad de los ataques, permitiendo a los atacantes obtener acceso inicial, escalar privilegios, sustraer información sensible y desplegar ransomware a nivel de hipervisor.
Riesgos para las organizaciones
Activos desde 2023, los operadores de Akira se enfocan en dispositivos de borde para penetrar en las redes corporativas. Una vez dentro, eliminan respaldos, roban archivos críticos y ejecutan cifrado masivo, interrumpiendo operaciones de negocio y exigiendo rescates millonarios.
Recomendaciones de seguridad
SonicWall recomienda a las organizaciones:
Aplicar de inmediato los parches de seguridad disponibles.
Rotar contraseñas en todas las cuentas de SonicWall y habilitar la opción “User must change password”.
Implementar MFA en servicios SSLVPN.
Mitigar el riesgo del SSLVPN Default Group.
Restringir el acceso al Virtual Office Portal.
Conclusión
El caso de Akira y SonicWall refleja una realidad crítica: las vulnerabilidades conocidas, aunque tengan más de un año, siguen siendo una de las puertas favoritas de los atacantes. La combinación de parches, controles de acceso robustos y monitoreo constante resulta esencial para mitigar el riesgo de ransomware en entornos empresariales.
