[Actualización 07/08/2025] Vulnerabilidad 0day en firewalls de SonicWall Gen 7
Versiones de firmware 7.2.0-7015 y anteriores.
SonicWall ha informado sobre una posible vulnerabilidad 0day de severidad crítica que podría permitir comprometer el appliance (incluso omitiendo la autenticación multifactor) y acabar desplegando ransomware.
Se han encontrado indicios de que existe una explotación activa.
[Actualización 07/08/2025]
SonicWall tiene un alto grado de certeza de que la reciente actividad de SSLVPN no está relacionada con una vulnerabilidad de 0day.
Se recomienda aplicar las siguientes medidas de mitigación:
- Desactivar el servicio SSLVPN cuando sea posible.
- Limitar la conectividad SSLVPN a direcciones IP conocidas.
- Habilitar servicios de seguridad como Botnet Protection y Filtrado Geo-IP.
- Implementar la autenticación multifactor (MFA) para todo acceso remoto.
- Eliminar las cuentas locales del firewall que se encuentren inactivas o sin uso, revisando especialmente aquellas con acceso SSLVPN.
- Cambiar regularmente las contraseñas en todas las cuentas de usuario.
Siendo el resto de acciones especialmente relevantes si no fuera factible realizar la primera.
[Actualización 07/08/2025]
- Actualizar el firmware a la versión 7.3.0.
- Restablecer todas las contraseñas de las cuentas de usuario locales para cualquier cuenta con acceso SSLVPN, especialmente si se transfirieron durante la migración de Gen 6 a Gen 7.
- Continuar aplicando las mejores prácticas recomendadas anteriormente.
La vulnerabilidad podría permitir comprometer el dispositivo y como consecuencia una intrusión en la empresa acompañada de un ransonware.
Huntress, Arctic Wolf y Google Mandiant se encuentran investigando los incidentes detectados hasta el momento para determinar si están relacionados con una vulnerabilidad previamente revelada o si se trata de una nueva vulnerabilidad.
[Actualización 07/08/2025]
SonicWall afirma que existe una correlación significativa con la actividad de amenazas relacionada con CVE-2024-40766, que se divulgó y documentó previamente en nuestro aviso.
