Audiencia
Esta alerta está destinada a ÉL profesionales y gerentes de organizaciones notificadas.
Objetivo
Se utiliza una alerta para crear conciencia sobre una amenaza cibernética recientemente identificada que puede afectar los activos de información cibernética y para proporcionar asesoramiento adicional de detección y mitigación a los destinatarios. El Centro Canadiense de Seguridad Cibernética («Cyber Center») también está disponible para proporcionar asistencia adicional con respecto al contenido de esta alerta a los destinatarios según lo solicitado.
Detalles
Los informes de código abierto han indicado que una posible vulnerabilidad del día cero en SonicWall Sslvpn está siendo explotado activamente para omitir MFA e implementar ransomware (por ejemplo, ransomware Akira)Nota 1Nota 2.
Para obtener más detalles sobre las versiones exactas de SonicWall Firewalls afectadas, siga monitoreando los avisos de SonicWall publicados en su sitio webNota 3.
Actualmente, el proveedor está investigando activamente para determinar si los incidentes informados recientes están conectados a una vulnerabilidad previamente revelada o si una nueva vulnerabilidad puede ser responsable Nota 3.
Indicadores de compromiso (COI) y tácticas, técnicas y procedimientos (TTP)
Para más detalles sobre Osint Tácticas, técnicas y procedimientos transmitidos (TTP) e indicadores de compromiso (COI), consulte los informes referenciados a continuaciónNota 1Nota 2.
Acciones sugeridas
Si se confirma una nueva vulnerabilidad, SonicWall se compromete a lanzar firmware actualizado e instrucciones adicionalesNota 3.
También le piden que considere seguir estos pasos para ayudar a mitigar contra la explotación.Nota 3:
Desactivar Sslvpn Servicios donde práctico
Límite Sslvpn conectividad a la fuente de confianza IPS
Habilitar servicios de seguridad
Activar servicios como protección de botnet y geo-IP Filtración
Esta ayuda a detectar y bloquear los actores de amenaza conocidos dirigidos Sslvpn puntos finales
Hacer cumplir la autenticación multifactor (MFA)
Eliminar cuentas no utilizadas
Practica una buena higiene de contraseña
El Cyber Center recomienda que las organizaciones:
Evaluar las instalaciones de los firewalls de SonicWall
Aplicar actualizaciones a los firewalls de SonicWall sin demora
Monitorear los sistemas afectados para la explotación
Además, el Cyber Center recomienda encarecidamente que las organizaciones revisen e implementen los 10 mejores del Cyber Center ÉL Acciones de seguridadNota 4 Con énfasis en las siguientes estrategias:
Consolidar, monitorear y defender las puertas de enlace de Internet
Sistemas y aplicaciones operativas de parche
Aislar aplicaciones orientadas a la web
Implementar la aplicación Permitir listas
Revise el libro de jugadas de Cyber Centers sobre Ransomware (ITSM.00.099) y aplique los controles de seguridad recomendadosNota 5.
Si se descubre la actividad que coincide con el contenido de esta alerta, se alienta a los destinatarios que informen a través del Mi portal cibernéticoo correo electrónico contact@cyber.gc.ca.
Referencias
Nota al pie 1
Aviso de amenaza de cazadora: explotación activa de Sonicwall VPNS
Volver a la nota al pie 1 referente
Nota al pie 2
Arctic Wolf observa el aumento de julio de 2025 en la actividad de ransomware Akira dirigido a SonicWall Ssl VPN
Volver a la nota al pie 2 referente
Nota al pie 3
Gen 7 Sonicwall Firewalls – Sslvpn Actividad de amenaza reciente
Volver a la nota al pie 3 referente
Nota al pie 4
Top 10 ÉL Acciones de seguridad para proteger las redes e información conectadas a Internet (ITSM.10.089)
Volver a la nota al pie 4 referente
Nota al pie 5
Ransomware Playbook (ITSM.00.099)
Volver a la nota al pie 5 referente