Contesto


SonicWall ha avvisato i clienti di disabilitare i servizi SSL VPN a causa di gruppi ransomware che stanno sfruttando attivamente una vulnerabilità di sicurezza sconosciuta nei firewall SonicWall di Generazione 7 per violare le reti da diverse settimane.
Si tratta di una minaccia critica e ancora in corso.

Vulnerabilità


Le catene di attacco iniziano con la compromissione del dispositivo SonicWall, seguita da un classico percorso di post-sfruttamento che include enumerazione, elusione della rilevazione, movimento laterale e furto di credenziali.
Gli attacchi prevedono anche la disattivazione sistematica di Microsoft Defender Antivirus e l'eliminazione delle copie shadow prima del rilascio del ransomware Akira.
Sono stati utilizzati strumenti per ricognizione e persistenza, come AnyDesk, ScreenConnect o SSH.
L'attività sembra essere limitata ai firewall SonicWall delle serie TZ e NSa con SSL VPN abilitato, e la vulnerabilità riguarda i firmware fino alla versione 7.2.0-7015.

Raccomandazioni


SonicWall ha indicato che pubblicherà patch e raccomandazioni appena sarà disponibile una soluzione. Nel frattempo, alle organizzazioni che utilizzano firewall Gen 7 SonicWall si consiglia quanto segue:

  • Disabilitare SSL VPN dove possibile

  • Limitare la connettività SSL VPN a indirizzi IP attendibili

  • Attivare protezioni come Botnet Protection e Geo-IP Filtering

  • Applicare l’autenticazione a più fattori (MFA)

  • Rimuovere account locali inattivi o inutilizzati con accesso SSL VPN

  • Promuovere l’aggiornamento regolare delle password su tutti gli account
    Se sospetti che un dispositivo vulnerabile sia stato compromesso, contatta subito il team di Incident Response di Integrity360.

Ulteriori informazioni


Maggiori dettagli sulla vulnerabilità zero-day sono disponibili qui:
https://www.huntress.com/blog/exploitation-of-sonicwall-vpn

 

Fonti
https://thehackernews.com/2025/08/sonicwall-investigating-potential-ssl.html
https://www.bleepingcomputer.com/news/security/sonicwall-urges-admins-to-disable-sslvpn-amid-rising-attacks/https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430

 

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o avete bisogno di aiuto per determinare quali misure adottare per proteggervi dalle minacce più significative per la vostra organizzazione, contattate il vostro account manager oppure Contattateci per scoprire come potete proteggere la vostra organizzazione.

 

Contattaci