Redazione RHC : 5 agosto 2025 18:47
El domingo pasado, Red Hot Cyber publicó un análisis exhaustivo del aumento de la actividad maliciosa del ransomware AKIRA, que parece explotar una vulnerabilidad de día cero no documentada en dispositivos SonicWall con SSLVPN habilitado. El artículo destacaba una posible correlación entre el aumento de ataques y una vulnerabilidad aún no reconocida públicamente en los firewalls Gen 7 de la compañía estadounidense. En respuesta a estos informes y otros hallazgos paralelos, SonicWall ha publicado un comunicado oficial.
En el comunicado, publicado el 4 de agosto de 2025, SonicWall confirma que en las últimas 72 horas se ha producido un aumento significativo de incidentes cibernéticos, tanto internos como externos, relacionados con firewalls Gen 7 con SSLVPN habilitado. La compañía también cita la contribución de equipos de investigación externos como Arctic Wolf, Google Mandiant y Huntress, que han detectado la misma actividad sospechosa. Esto confirma los hallazgos de nuestro artículo y refuerza la hipótesis de que el ransomware AKIRA utiliza un exploit avanzado.
SonicWall afirma que está llevando a cabo una investigación exhaustiva para determinar si estos ataques están relacionados con una vulnerabilidad previamente descubierta o si se trata de una nueva falla. Por el momento, la compañía no descarta la posibilidad de una vulnerabilidad aún no documentada, lo que coincide con las preocupaciones expresadas por nuestro equipo editorial en el artículo anterior.
Mientras tanto, SonicWall ha proporcionado una serie de recomendaciones a sus clientes y socios para mitigar el riesgo. En concreto, recomienda deshabilitar el servicio SSLVPN siempre que sea posible o limitar el acceso a este únicamente a direcciones IP de origen confiable. La compañía también recomienda activar servicios de seguridad como la protección contra botnets y el filtrado geográfico de IP, así como habilitar la autenticación multifactor (MFA) para todos los accesos remotos, aunque reconoce que esto podría no ser suficiente en este escenario específico.
Otras medidas de seguridad recomendadas incluyen eliminar las cuentas locales no utilizadas, especialmente las habilitadas para el acceso SSLVPN, y promover una gestión adecuada de las credenciales, con actualizaciones periódicas de las contraseñas. SonicWall enfatiza que estas medidas son esenciales para limitar el impacto de los ataques en curso mientras la compañía trabaja en el lanzamiento de una posible actualización de firmware correctiva.
En conclusión, el comunicado oficial de SonicWall confirma la gravedad de la situación y la urgencia de adoptar medidas restrictivas a la espera de una solución. La rápida respuesta de la compañía, incluso después de nuestra publicación, demuestra la importancia crucial de la monitorización continua de amenazas y la interacción entre los medios de comunicación del sector, los equipos de inteligencia de amenazas y los proveedores de seguridad. Red Hot Cyber seguirá de cerca los acontecimientos e informará puntualmente a sus lectores sobre cualquier novedad técnica o nueva contramedida.
Se ha descubierto una falla de seguridad crítica en implementaciones híbridas de Microsoft Exchange Server. Esta vulnerabilidad (CWE-287) permite a los atacantes con acceso administrativo lo...
Se han descubierto vulnerabilidades críticas en el servidor de inferencia Triton de NVIDIA, que amenazan la seguridad de la infraestructura de IA en Windows y Linux. Esta solución de có...
Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...
Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...
La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...