Contexto


SonicWall ha advertido a sus clientes que desactiven los servicios SSL VPN debido a que bandas de ransomware están explotando activamente una vulnerabilidad desconocida en los firewalls de SonicWall Generación 7 para infiltrarse en redes desde hace varias semanas.
Se trata de una amenaza crítica y en curso.

Vulnerabilidad


Las cadenas de ataque comienzan con la brecha en el dispositivo SonicWall, seguida de un camino bien conocido de post-explotación: enumeración, evasión de detección, movimiento lateral y robo de credenciales.
Los atacantes también desactivan sistemáticamente Microsoft Defender Antivirus y eliminan las copias shadow antes de desplegar el ransomware Akira.
Se han identificado herramientas como AnyDesk, ScreenConnect o SSH para reconocimiento y persistencia.
La actividad parece limitarse a los firewalls SonicWall de las series TZ y NSa con SSL VPN habilitado, con la vulnerabilidad presente en versiones de firmware 7.2.0-7015 o anteriores.

Recomendaciones


SonicWall ha indicado que publicará parches y recomendaciones tan pronto como tenga claridad sobre la situación. Mientras tanto, se aconseja a las organizaciones que utilicen firewalls Gen 7 SonicWall seguir estos pasos:

  • Desactivar SSL VPN donde sea posible

  • Limitar la conexión SSL VPN a direcciones IP de confianza

  • Activar servicios como Protección contra Botnets y Filtro Geo-IP

  • Aplicar autenticación multifactor (MFA)

  • Eliminar cuentas locales inactivas o no utilizadas con acceso SSL VPN

  • Promover actualizaciones frecuentes de contraseñas
    Si crees que un dispositivo vulnerable ha sido comprometido, contacta inmediatamente con el equipo de Respuesta a Incidentes de Integrity360.

Más información


Lee más sobre la vulnerabilidad zero-day aquí:
https://www.huntress.com/blog/exploitation-of-sonicwall-vpn

Referencias
https://thehackernews.com/2025/08/sonicwall-investigating-potential-ssl.html
https://www.bleepingcomputer.com/news/security/sonicwall-urges-admins-to-disable-sslvpn-amid-rising-attacks/

https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430

Si le preocupan las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o con nosotros para saber cómo puede proteger su organización.

 

 

Contact Us