Hackers, incluindo membros do grupo Akira ransomware , começaram a explorar uma vulnerabilidade crítica de execução remota de código (RCE) recentemente divulgada e corrigida pela SonicWall em seus produtos de firewall das gerações 5, 6 e em algumas versões da geração 7.
A vulnerabilidade, identificada como CVE-2024-40766, representa uma ameaça significativa aos dispositivos de segurança de rede, levando a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA a adicioná-la ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
A vulnerabilidade CVE-2024-40766 resulta de um controle de acesso inadequado no componente de gerenciamento do SonicWall SonicOS, afetando dispositivos firewall das gerações 5, 6 e versões anteriores ao SonicOS 7.0.1-5035 na geração 7. Essa falha permite que hackers obtenham controle total sobre os dispositivos afetados, podendo até causar falhas completas nos firewalls.
A SonicWall classificou o CVE-2024-40766 com uma gravidade de 9,3 na escala CVSS, de um máximo de 10. A vulnerabilidade foi inicialmente divulgada em 22 de agosto, mas, em 6 de setembro, o comunicado foi atualizado para incluir contas SSLVPN locais como vulneráveis. A SonicWall instou as organizações a aplicarem as mitigações recomendadas imediatamente para evitar invasões.
Na última sexta-feira, a empresa de segurança cibernética Arctic Wolf informou que membros do grupo Akira ransomware já estão explorando a vulnerabilidade para comprometer contas SSLVPN em dispositivos SonicWall. Em todos os casos observados, as contas comprometidas eram locais nos dispositivos, sem integração com soluções centralizadas de autenticação, como o Microsoft Active Directory. Além disso, a autenticação multifator (MFA) estava desativada nas contas violadas, facilitando o ataque dos hackers.
A SonicWall recomenda que os clientes atualizem seus dispositivos imediatamente para versões corrigidas e limitem o gerenciamento de firewalls a fontes confiáveis. Também é sugerido desativar o gerenciamento via WAN pela Internet e restringir o acesso SSLVPN apenas a fontes confiáveis.
A SonicWall destacou a importância de os administradores de firewalls das gerações 5 e 6 garantirem que usuários de SSLVPN com contas locais alterem suas senhas imediatamente para prevenir acessos não autorizados. Além disso, a empresa reforçou a necessidade de ativar a autenticação multifator (MFA) para todos os usuários de SSLVPN, como medida essencial de segurança.
Os dispositivos de firewall da SonicWall, assim como outros produtos de segurança de rede, são alvos atraentes para hackers devido aos privilégios elevados que proporcionam em uma rede comprometida. Ao comprometer esses dispositivos, os invasores podem ter acesso a todo o tráfego de rede e a dados valiosos, o que os torna uma porta de entrada ideal para ataques mais amplos.
Nos últimos anos, a CISA e outras entidades de segurança, como o National Cyber Security Centre (NCSC) do Reino Unido, têm alertado sobre ataques direcionados a vulnerabilidades em dispositivos de rede, que muitas vezes são usados para obter uma posição inicial em infraestruturas de redes complexas. Em um relatório de 2023, a Cisco destacou atividades maliciosas contínuas, incluindo manipulação de tráfego e reconhecimento de infraestrutura por hackers patrocinados por Estados, visando dispositivos de rede como roteadores e switches.
A crescente preocupação com o aumento da exposição governamental a ataques cibernéticos levou a CISA a emitir, no final de junho, uma diretriz operacional vinculante. Essa diretriz exige que órgãos do Poder Executivo Civil Federal (FCEB) implementem medidas rigorosas para proteger as interfaces de gerenciamento de dispositivos de rede, incluindo firewalls, roteadores e VPNs, até 30 de setembro. A iniciativa visa reduzir os riscos associados a vulnerabilidades como o CVE-2024-40766 e proteger a integridade das redes críticas.
A vulnerabilidade CVE-2024-40766 e sua exploração por membros do grupo Akira ransomware reforçam a importância de manter os dispositivos de segurança de rede atualizados e devidamente configurados. A rápida resposta da SonicWall e as recomendações de mitigação são essenciais para prevenir invasões que podem resultar em graves consequências financeiras e operacionais para organizações de todos os setores.
Via - DR
תגובות