¿Actualizaste SonicWall? Piénsalo otra vez: el grupo de hackers Akira ya está dentro de las redes

En agosto de 2024 SonicWall publicó un aviso de seguridad SNWLID-2024-0015, relacionado con una vulnerabilidad de control de acceso incorrecto en SSLVPN en dispositivos Gen5, Gen6 y Gen7. El problema permitía eludir restricciones y obtener acceso al equipo en determinadas condiciones. La empresa solucionó la vulnerabilidad y proporcionó parches, sin embargo con el tiempo se supo que parte de los sistemas quedó sin la protección adecuada.

En septiembre comenzó una nueva ola de ataques, durante la cual los operadores del ransomware Akira empezaron a explotar de forma dirigida dispositivos SonicWall. Al principio los ataques parecían una campaña nueva, pero más tarde SonicWall aclaró que se trataba de las consecuencias del mismo fallo de agosto, si los administradores no habían aplicado completamente la actualización y la configuración. Así lo señaló también Rapid7, que envió notificaciones urgentes a sus clientes y recomendó completar de inmediato todos los pasos para mitigar la vulnerabilidad. El equipo de respuesta a incidentes de Rapid7 observó un aumento de intrusiones a través de SonicWall.

Más tarde SonicWall advirtió además sobre los riesgos relacionados con Default Users Group Security Risk. En ciertas configuraciones LDAP, usuarios a los que no se les debería permitir el acceso a SSLVPN podían aun así autenticarse e iniciar sesión. Rapid7 también registró el abuso del portal Virtual Office Portal integrado en los dispositivos SonicWall. Esta interfaz está diseñada para configurar MFA/TOTP para usuarios de SSLVPN, pero si está accesible públicamente permite a los atacantes activar la autenticación de dos factores en nombre de cuentas reales, si previamente consiguieron el nombre de usuario y la contraseña. Según los datos recopilados, el grupo Akira puede combinar los tres escenarios vulnerables para ejecutar intrusiones y desplegar posteriormente un cifrador.

Akira opera desde principios de 2023 bajo el modelo RaaS (ransomware como servicio) y es conocida por ataques a dispositivos perimetrales. Un ataque típico incluye el acceso mediante SSLVPN, la obtención de privilegios hasta el nivel de cuentas de servicio, la búsqueda y exfiltración de archivos confidenciales desde servidores, la desactivación de las copias de seguridad y el cifrado final de la infraestructura a nivel de hipervisor.

Para reducir el riesgo, Rapid7 aconseja a los administradores: cambiar las contraseñas de todas las cuentas locales en SonicWall y eliminar las que no se usan; verificar que la autenticación multifactor esté activada para SSLVPN; eliminar derechos excesivos en los grupos predeterminados; restringir el acceso al Virtual Office Portal solo desde redes de confianza y supervisar las peticiones a este por el puerto 4433. Además, conviene asegurarse de instalar las últimas actualizaciones de firmware, aislar y hacer inmutables las copias de seguridad, mantener actualizado el software de virtualización, controlar el uso de cuentas con privilegios mediante las Directivas de Grupo y enviar los registros a un SIEM para tener mejor visibilidad de la actividad.