Una vulnerabilidad de SonicWall, expuesta desde hace tiempo, está siendo utilizada para infectar a organizaciones con ransomware Akira.
Un error que fue corregido hace un año está siendo aprovechado.
Investigadores de seguridad han alertado sobre el uso del ransomware Akira, que explota una vulnerabilidad en las instancias de SSLVPN de SonicWall, la cual fue descubierta y corregida hace más de un año. Los atacantes están dirigiendo sus esfuerzos hacia las empresas que no han aplicado el parche correspondiente o que no han mitigado adecuadamente el riesgo.
Según un reciente aviso de seguridad emitido por Rapid7, esta vulnerabilidad de control de acceso inapropiado específicamente afecta a los dispositivos de firewall de las generaciones Gen5, Gen6 y Gen7 de SonicWall, y su abuso ha aumentado desde agosto de 2025.
Además de atacar las instancias de firewall desactualizadas, Akira también está utilizando otros métodos para obtener acceso no autorizado. Rapid7 destacó que SonicWall ha publicado orientación adicional sobre el riesgo de seguridad del grupo de usuarios predeterminado, el cual puede otorgar acceso a los servicios basándose en las configuraciones del grupo LDAP predeterminado. En algunos casos, esto permite que usuarios sin permisos adecuados accedan a SSLVPN.
Los actores de la amenaza también han tenido acceso al Portal Virtual de Oficina que ofrecen los dispositivos de SonicWall. Este servicio es utilizado para configurar inicialmente las configuraciones de MFA/TOTP para los usuarios de SSLVPN y, en ciertas configuraciones por defecto, puede permitir el acceso público al portal, lo que facilita que los atacantes configuren MFA/TOTP con cuentas previamente expuestas y válidas.
Los investigadores advertieron que las evidencias recopiladas durante las investigaciones de Rapid7 sugieren que el grupo Akira podría estar utilizando una combinación de estas tres vulnerabilidades de seguridad para obtener acceso no autorizado y llevar a cabo sus operaciones de ransomware.
Para mitigar este riesgo, se recomienda a las empresas que roten las contraseñas de todas las cuentas de SonicWall, se aseguren de que las políticas de MFA estén correctamente configuradas y verifiquen que el acceso al Portal Virtual de Oficina esté restringido a la red interna o a redes de confianza. Otras medidas incluyen monitorear el acceso al portal y garantizar que todas las actualizaciones de seguridad estén aplicadas.
Akira ha estado activo durante al menos dos años y es conocido por su agresivo enfoque hacia los dispositivos de red de borde.
