Un grave riesgo se cierne sobre las empresas que utilizan las instancias de SSLVPN de SonicWall. Investigadores de seguridad han alertado que un ransomware conocido como Akira está aprovechando una vulnerabilidad que fue descubierta y corregida hace más de un año. Este hecho evidencia la importancia de mantener actualizados los sistemas de seguridad, ya que los atacantes están dirigiendo sus esfuerzos hacia aquellas compañías que aún no han aplicado el parche correspondiente.
Detalles de la vulnerabilidad
Según un reciente aviso de seguridad publicado por Rapid7, la vulnerabilidad se relaciona con un control de acceso inapropiado en las instancias de SSLVPN, afectando las versiones Gen5, Gen6 y Gen7 de los dispositivos de firewall de SonicWall. Desde agosto de 2025, se ha observado un aumento en el abuso de esta vulnerabilidad, lo que ha generado preocupación entre los expertos en ciberseguridad.
Rapid7 también indica que los operadores de Akira están utilizando métodos adicionales para obtener acceso no autorizado, además de atacar las instancias de firewall desactualizadas. SonicWall ha publicado orientación de seguridad adicional en relación al riesgo de seguridad del grupo de usuarios predeterminado, lo que permite acceder a los servicios basándose en las configuraciones predeterminadas del grupo LDAP. Esto puede permitir que usuarios sin los permisos adecuados accedan a la SSLVPN, aumentando el riesgo de comprometer la red.
Acceso no autorizado y sus implicaciones
Los actores de amenazas están accediendo a través del Portal de Oficina Virtual que ofrecen los dispositivos de SonicWall. Este servicio se puede utilizar para configurar inicialmente las configuraciones de MFA/TOTP para los usuarios de SSLVPN y, en ciertas configuraciones predeterminadas, permite acceso público al portal. Esto brinda a los atacantes la oportunidad de configurar MFA/TOTP utilizando cuentas válidas que ya han sido expuestas.
“La evidencia recopilada durante las investigaciones de Rapid7 sugiere que el grupo Akira está utilizando una combinación de estos riesgos de seguridad para obtener acceso no autorizado y llevar a cabo operaciones de ransomware”, alertaron los investigadores. Este enfoque multifacético resalta la versatilidad y la sofisticación de las tácticas de los atacantes en el panorama actual de la ciberseguridad.
Recomendaciones para mitigar el riesgo
Para mitigar el riesgo, las empresas deben rotar las contraseñas de todas las cuentas de SonicWall, asegurarse de que las políticas de MFA estén correctamente configuradas y verificar si el acceso al Portal de Oficina Virtual está restringido solo a la LAN o a redes de confianza. Otras medidas recomendadas incluyen monitorear el acceso al Portal de Oficina Virtual y asegurarse de que todos los sistemas estén debidamente actualizados con los últimos parches de seguridad.
Akira ha estado activo durante al menos dos años y es conocido por su enfoque agresivo hacia los dispositivos de red en los bordes, lo que subraya la necesidad urgente de que las empresas tomen medidas proactivas en la defensa de sus sistemas.
