A SonicWall afirmou que está investigando ativamente relatórios para determinar se existe uma nova vulnerabilidade zero-day em meio a relatos de aumento na atividade de atores do ransomware Akira no final de julho de 2025.
"Nos últimos 72 horas, houve um aumento notável tanto em incidentes cibernéticos relatados internamente quanto externamente envolvendo firewalls SonicWall Gen 7 com SSLVPN habilitado," disse o fornecedor de segurança de rede em um comunicado.
Estamos investigando ativamente esses incidentes para determinar se estão conectados a uma vulnerabilidade previamente divulgada ou se uma nova vulnerabilidade pode ser responsável.
Enquanto a SonicWall realiza uma investigação mais aprofundada, organizações que utilizam firewalls SonicWall Gen 7 são aconselhadas a seguir as etapas abaixo até novo aviso:
Desativar serviços SSL VPN onde for prático
Limitar a conectividade SSL VPN a endereços IP confiáveis
Ativar serviços como Proteção contra Botnets e Filtro Geo-IP
Aplicar autenticação multifator
Remover contas de usuário locais inativas ou não utilizadas no firewall, particularmente aquelas com acesso SSL VPN
Encorajar atualizações regulares de senha em todas as contas de usuário
Este desenvolvimento acontece logo após a Arctic Wolf revelar que identificou um aumento na atividade de ransomware Akira visando dispositivos SonicWall SSL VPN para acesso inicial desde o mês passado.
A Huntress, em uma análise de acompanhamento publicada na segunda-feira, também disse que observou atores de ameaças pivotando diretamente para controladores de domínio poucas horas após a violação inicial.
As cadeias de ataque começam com a violação do dispositivo SonicWall, seguido pelos atacantes tomando um caminho pós-exploração "bem-traçado" para realizar enumeração, evasão de detecção, movimento lateral e furto de credenciais.
Os incidentes também envolvem os malfeitores desativando metodicamente o Antivírus Microsoft Defender e deletando cópias de sombra de volume antes de implantar o ransomware Akira.
A Huntress disse que detectou cerca de 20 ataques diferentes ligados à mais recente onda de ataques começando em 25 de julho de 2025, com variações observadas na habilidade usada para realizá-los, incluindo no uso de ferramentas para reconhecimento e persistência, como AnyDesk, ScreenConnect ou SSH.
Há evidências sugerindo que a atividade pode ser limitada a firewalls SonicWall das séries TZ e NSa com SSL VPN habilitado, e que a falha suspeita existe nas versões de firmware 7.2.0-7015 e anteriores.
"A velocidade e o sucesso desses ataques, mesmo contra ambientes com MFA habilitado, sugerem fortemente que uma vulnerabilidade zero-day está sendo explorada em campo," disse a empresa de cibersegurança.
Esta é uma ameaça crítica e contínua.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...