Desde 10 de outubro, a Huntress observou um comprometimento generalizado de dispositivos SonicWall SSLVPN em diversos ambientes de clientes. Os agentes de ameaças estão se autenticando rapidamente em múltiplas contas nos dispositivos comprometidos. A velocidade e a escala desses ataques sugerem que os invasores parecem controlar credenciais válidas em vez de usar força bruta.
A maior parte da atividade começou em 04 de outubro, com autenticações em cluster ocorrendo ao longo dos dois dias seguintes. Até o momento, mais de 100 contas SonicWall SSLVPN em 16 contas de clientes foram afetadas. Nos casos observados, as autenticações nos dispositivos SonicWall se originaram de 202.155.8[.]73.
Em alguns casos, os agentes não pareceram gerar mais atividade adversária na rede, desconectando-se após um curto período. Em outros casos, houve evidências de atividade pós-exploração, com os agentes realizando varreduras de rede e tentando acessar diversas contas locais do Windows.
A SonicWall divulgou uma atualização de alerta de segurança sobre um ataque à sua plataforma MySonicWall que permitiu que uma parte não autorizada acessasse os arquivos de backup de configuração do firewall de todos os clientes que utilizaram o serviço de backup em nuvem da SonicWall. Os arquivos incluem credenciais e dados de configuração criptografados. Embora as credenciais nos arquivos sejam criptografadas, o acesso a eles pode aumentar o risco de ataques direcionados, afirmou a SonicWall.
A atualização do escopo expandido do incidente ocorre após um aviso de segurança inicial em meados de setembro, quando a SonicWall havia dito originalmente que os agentes de ameaças acessavam arquivos de preferência de firewall de backup armazenados na nuvem para menos de 5% de sua base instalada de firewall. Mas não há evidências que vinculem este alerta ao recente pico de comprometimentos observado.
Próximos passos
A Huntress continua monitorando o aumento nos comprometimentos de SSLVPN na nossa base de clientes e trabalhando com os parceiros para auxiliar nas próximas etapas. Também está monitorando o alerta de segurança mais recente da SonicWall e disponibilizamos uma seção de perguntas frequentes com mais orientações para empresas.
A SonicWall recomenda que os clientes acessem suas contas MySonicWall.com e verifiquem se seus dispositivos foram afetados. Em caso afirmativo, devem seguir as diretrizes específicas de contenção e remediação descritas no aviso de ameaças da SonicWall .
Outras medidas que as empresas podem tomar:
- Restrinja imediatamente o gerenciamento da WAN e o acesso remoto sempre que possível.
- Desabilite ou limite HTTP, HTTPS, SSH, SSL VPN e gerenciamento de entrada até que as credenciais sejam redefinidas.
- Redefina todos os segredos e chaves nos dispositivos afetados agora. Isso inclui contas de administrador local, chaves pré-compartilhadas de VPN, credenciais de vinculação LDAP/RADIUS/TACACS+, PSKs sem fio e credenciais SNMP.
- Revogue e remova quaisquer chaves de API externas, DNS dinâmico, credenciais SMTP/FTP e quaisquer segredos de automação que afetem o firewall ou os sistemas de gerenciamento.
- Aumente o registro e revise logins recentes e alterações de configuração em busca de atividades suspeitas. Guarde registros forenses enquanto investiga.
- Após as redefinições, reintroduza os serviços um de cada vez e monitore o reaparecimento de acesso não autorizado.
- Aplique MFA para todas as contas de administrador e remotas e privilégios mínimos às funções de gerenciamento.
A divulgação ocorre em meio a um aumento na atividade de ransomware visando dispositivos de firewall SonicWall para acesso inicial, com os ataques aproveitando falhas de segurança conhecidas ( CVE-2024-40766 ) para violar redes alvo para implantar o ransomware Akira.
A Darktrace, em recente relatório, disse ter detectado uma intrusão direcionada a um cliente americano não identificado no final de agosto de 2025, que envolveu varredura de rede, reconhecimento, movimento lateral, escalonamento de privilégios usando técnicas como UnPAC, hash e exfiltração de dados. “Um dos dispositivos comprometidos foi posteriormente identificado como um servidor de rede privada virtual (VPN) da SonicWall, sugerindo que o incidente foi parte de uma campanha mais ampla de ransomware Akira que tinha como alvo a tecnologia SonicWall. Esta campanha dos autores do ransomware Akira ressalta a importância crucial de manter práticas de aplicação de patches atualizadas. Os autores de ameaças continuam a explorar vulnerabilidades previamente divulgadas, não apenas vulnerabilidades de dia zero, destacando a necessidade de vigilância contínua, mesmo após o lançamento dos patches.”
