Se ha detectado una campaña de escaneo masivo dirigida contra interfaces de firewalls SonicWall, con el objetivo de identificar vulnerabilidades y recolectar credenciales. Los atacantes están utilizando flotas de escáneres para localizar dispositivos vulnerables, especialmente aquellos que han migrado configuraciones de versiones antiguas (Gen 6 a Gen 7), lo que aumenta el riesgo de compromiso de acceso remoto. Se recomienda la actualización inmediata de firmware, el reseteo de contraseñas y la implementación de controles de acceso estrictos para mitigar este riesgo.
Veredicto Analítico
- Estado: Confirmado (Actividad de escaneo y explotación detectada por Huntress y otros analistas).
- Confianza: Alta (Basado en telemetría de escaneo y reportes de incidentes confirmados).
- Riesgo para SOC TDIR: Crítico. El compromiso de un firewall permite a un atacante controlar el perímetro, interceptar tráfico, realizar movimientos laterales y desactivar defensas de red.
- Urgencia operativa: Inmediata. Se han reportado al menos 28 incidentes relacionados con este clúster de actividad.
- Base del veredicto: Identificación de flotas de escaneo específicas y la existencia de vulnerabilidades críticas sin parchear en dispositivos antiguos.
Hallazgos Clave
- Flotas de Escaneo Identificadas: Se han detectado subredes activas realizando escaneos:
- 185[.]156[.]73[.]0/24
- 88[.]210[.]63[.]0/24
- 204[.]76[.]203[.]0/24 (esta última con indicadores de recolección de credenciales).
- Vulnerabilidad Crítica (CVE-2024-53704): Los atacantes buscan explotar este fallo (CVSS 9.8) para ganar acceso.
- Punto Débil en la Migración: Las organizaciones que importaron configuraciones de la Generación 6 a la Generación 7 presentan un riesgo mayor debido a la persistencia de credenciales antiguas y configuraciones heredadas.
- Objetivo de la Campaña: Recolección de credenciales, explotación de vulnerabilidades de acceso y compromiso de appliances de acceso remoto (SRA).
Análisis Técnico
- Vector de Ataque: Escaneo de interfaces de red para identificar servicios expuestos y servicios de VPN.
- TTPs (MITRE ATT&CK):
- Reconocimiento: Escaneo de puertos y servicios (Active Scanning).
- Acceso Inicial: Explotación de vulnerabilidades de software y uso de credenciales robadas/heredadas.
- Dispositivos en Riesgo: Firewalls SonicWall de séptima generación (Gen 7) y appliances SRA de fin de vida (End-of-Life).
Recomendaciones Operativas
Para Administradores de SonicWall (Acción Inmediata):
- Parchear SonicOS: Actualizar urgentemente contra el CVE-2024-53704.
- Actualizar Firmware: Se recomienda actualizar a la versión 7.3.0 o superior.
- Gestión de Credenciales (Crítico):
- Resetear todas las contraseñas de cuentas de usuario locales.
- Especial atención a las cuentas utilizadas para SSL VPN.
- Rotar tanto las contraseñas de cuentas locales como las de LDAP/Active Directory utilizadas para la integración.
- Retirar Dispositivos EOL: Descomisionar appliances SRA que ya no reciben parches (vulnerables a CVE-2021-20028 o CVE-2019-7481).
Para el SOC (Monitoreo y Detección):
- Habilitar Controles de Acceso: Activar el bloqueo de intentos de inicio de sesión (Login attempt lockout) y la complejidad de contraseñas (disponible en SonicOS 7.3+).
- Filtrado de Red: Implementar Geo-IP Filtering y Botnet Protection en el firewall.
- Monitoreo de APIs: Vigilar intentos inusuales en la API de SonicOS y en los servicios de NetExtender.
- Auditoría de Credenciales: Utilizar la función Credential Auditor en SonicOS 7.3.2 o NSM SaaS para detectar la reutilización de credenciales.
Para Ingeniería de Seguridad:
- Segmentación: Asegurar que las interfaces de gestión no estén expuestas directamente a Internet.
- Vigilancia de Telemetría: Monitorear datos de GreyNoise en tiempo real sobre actividad de la API de SonicOS y intentos de login de SSL VPN.
