SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

19 sept 2025

Segu-Info » » SonicWall insta a restablecer las contraseñas tras una vulneración (Actualizado)

SonicWall insta a restablecer las contraseñas tras una vulneración (Actualizado)

19 sept 2025, 9:30:00 a.m.   Comenta primero!
   

SonicWall insta a sus clientes a restablecer sus credenciales tras la exposición de los archivos de copia de seguridad de la configuración de su firewall en una brecha de seguridad que afectó a las cuentas de MySonicWall.

La compañía afirmó haber detectado recientemente actividad sospechosa dirigida al servicio de copias de seguridad en la nube para firewalls, y que agentes de amenazas desconocidos accedieron a los archivos de preferencias del firewall de copia de seguridad almacenados en la nube para menos del 5% de sus clientes.

"Si bien las credenciales de los archivos estaban cifradas, estos también incluían información que podría facilitar a los atacantes la explotación del firewall", declaró la compañía.

La compañía afirmó no tener conocimiento de que los agentes de amenazas hayan filtrado alguno de estos archivos en línea, y añadió que no se trató de un ataque de ransomware dirigido a su red.

"Se trató, más bien, de una serie de ataques de fuerza bruta destinados a obtener acceso a los archivos de preferencias almacenados en la copia de seguridad para su posible uso posterior por parte de agentes de amenazas", señaló. Actualmente se desconoce la responsabilidad del ataque.

Como resultado del incidente, la compañía insta a los clientes a seguir los siguientes pasos:

  • Iniciar sesión en MySonicWall.com y verificar si las copias de seguridad en la nube están habilitadas.
  • Verificar si los números de serie afectados se han marcado en las cuentas.
  • Iniciar procedimientos de contención y remediación limitando el acceso a los servicios desde la WAN, desactivando el acceso a la administración HTTP/HTTPS/SSH, deshabilitando el acceso a SSL VPN e IPSec VPN, restableciendo las contraseñas y los TOTP guardados en el firewall, y revisando los registros y los cambios de configuración recientes para detectar actividad inusual.

Además, se recomienda a los clientes afectados que importen los nuevos archivos de preferencias proporcionados por SonicWall a los firewalls. El nuevo archivo de preferencias incluye los siguientes cambios:

  • Contraseña aleatoria para todos los usuarios locales.
  • Restablecer la vinculación TOTP, si está habilitada.
  • Claves aleatorias de VPN IPSec.

"El archivo de preferencias modificado proporcionado por SonicWall se creó a partir del último archivo de preferencias encontrado en el almacenamiento en la nube", indicaba. "Si el último archivo de preferencias no representa la configuración deseada, no lo utilice".

La revelación se produce mientras los actores de amenazas afiliados al grupo de ransomware Akira siguen atacando dispositivos SonicWall sin parches para obtener acceso inicial a las redes objetivo mediante la explotación de una falla de seguridad de un año de antigüedad (CVE-2024-40766, CVSS: 9,3).

A principios de esta semana, la empresa de ciberseguridad Huntress detalló un incidente de ransomware Akira que involucraba la explotación de las VPN de SonicWall. En este incidente, los actores de amenazas utilizaron un archivo de texto sin formato que contenía códigos de recuperación de su software de seguridad para eludir la autenticación multifactor (MFA), suprimir la visibilidad del incidente e intentar eliminar las protecciones de los endpoints.

Actualización 11/10

"Los actores de amenazas se están autenticando rápidamente en múltiples cuentas en los dispositivos comprometidos. La velocidad y la escala de estos ataques implican que los atacantes parecen controlar las credenciales válidas en lugar de recurrir a la fuerza bruta", declaro huntress

Una parte significativa de la actividad comenzó el 4 de octubre de 2025, con más de 100 cuentas de SonicWall SSL VPN afectadas. En los casos investigados por Huntress, las autenticaciones en los dispositivos SonicWall se originaron desde la dirección IP 202.155.8[.]73.

La brecha, según la última actualización de SonicWall, afecta a todos los clientes que han utilizado el servicio de copias de seguridad en la nube de SonicWall: "La investigación confirmó que una parte no autorizada accedió a los archivos de respaldo de configuración del firewall de todos los clientes que utilizaron el servicio de respaldo en la nube de SonicWall."

"Los archivos de configuración del firewall almacenan información confidencial que los atacantes pueden aprovechar para explotar y obtener acceso a la red de una organización", declaró Arctic Wolf. "Estos archivos pueden proporcionar a los atacantes información crítica, como la configuración de usuarios, grupos y dominios, la configuración de DNS y registros, y los certificados".

El análisis forense confirmó que los atacantes aprovecharon una vulnerabilidad en la API MSW Cloud Backup para filtrar archivos de respaldo .EXP para todos los firewalls registrados en MySonicWall.com.

Estos archivos almacenan una instantánea completa de las configuraciones del dispositivo, incluidas las credenciales de administrador y el material de la clave de seguridad cifrado con AES-256 en dispositivos Gen 7 y más nuevos.

Si bien los parámetros de configuración están codificados en base64 en lugar de cifrados, los valores secretos permanecen cifrados individualmente.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!