La empresa de ciberseguridad Huntress advirtió el viernes sobre un “compromiso generalizado” de los dispositivos VPN SSL de SonicWall para penetrar a múltiples entornos de clientes.
“Los actores de amenazas se están autenticando rápidamente en múltiples cuentas a través de dispositivos comprometidos”, dijo. “La velocidad y escalera de estos ataques implican que los atacantes parecen controlar credenciales válidas en punto de fuerza bruta”.
Se dice que una parte importante de la actividad comenzó el 4 de octubre de 2025, con más de 100 cuentas VPN SSL de SonicWall en 16 cuentas de clientes que se vieron afectadas. En los casos investigados por Huntress, las autenticaciones en los dispositivos SonicWall se originaron a partir de la dirección IP 202.155.8(.)73.
La compañía señaló que en algunos casos, los actores de amenazas no participaron en más acciones adversas en la red y se desconectaron luego de un corto período de tiempo. Sin confiscación, en otros casos, se descubrió que los atacantes realizaban actividades de escaneo de red e intentaban penetrar a numerosas cuentas locales de Windows.
La divulgación se produce poco luego de que SonicWall reconociera que un incidente de seguridad resultó en la exposición no autorizada de archivos de copia de seguridad de la configuración del firewall almacenados en las cuentas de MySonicWall. La infracción, según la última modernización, afecta a todos los clientes que han utilizado el servicio de copia de seguridad en la cúmulo de SonicWall.
“Los archivos de configuración del firewall almacenan información confidencial que los actores de amenazas pueden emplear para explotar y obtener paso a la red de una ordenamiento”, dijo Arctic Wolf. “Estos archivos pueden proporcionar a los actores de amenazas información crítica, como configuración de becario, peña y dominio, configuración de registro y DNS, y certificados”.
Huntress, sin confiscación, señaló que no hay evidencia en este momento que vincule la violación con el nuevo aumento en los compromisos.
Teniendo en cuenta que las credenciales confidenciales se almacenan adentro de las configuraciones de firewall, se recomienda a las organizaciones que utilizan el servicio de respaldo de configuración en la cúmulo MySonicWall que restablezcan sus credenciales en dispositivos de firewall activos para evitar el paso no competente.
Todavía se recomienda restringir la distribución de WAN y el paso remoto cuando sea posible, revocar cualquier esencia API externa que toque el firewall o los sistemas de distribución, monitorear los inicios de sesión en exploración de signos de actividad sospechosa y aplicar la autenticación multifactor (MFA) para todos los administradores y cuentas remotas.
La divulgación se produce en medio de un aumento en la actividad de ransomware dirigida a dispositivos de firewall SonicWall para el paso original, y los ataques aprovechan fallas de seguridad conocidas (CVE-2024-40766) para violar las redes de destino para implementar el ransomware Akira.
Darktrace, en un crónica publicado esta semana, dijo que detectó una intrusión dirigida a un cliente estadounidense incógnito a finales de agosto de 2025 que implicó escaneo de red, agradecimiento, movimiento pegado, ascensión de privilegios utilizando técnicas como UnPAC the hash y exfiltración de datos.
“Uno de los dispositivos comprometidos fue identificado más tarde como un servidor de red privada supuesto (VPN) de SonicWall, lo que sugiere que el incidente fue parte de la campaña más amplia de ransomware Akira dirigida a la tecnología SonicWall”, dijo.
“Esta campaña de los actores del ransomware Akira subraya la importancia crítica de suministrar prácticas de parches actualizadas. Los actores de amenazas continúan explotando vulnerabilidades previamente reveladas, no solo de día cero, lo que resalta la privación de una vigilancia continua incluso luego de que se publiquen los parches”.
