SonicWall indaga su una possibile vulnerabilità zero-day dopo l’aumento degli attacchi ransomware Akira
SonicWall ha annunciato di essere attivamente impegnata nell’indagine su segnalazioni che potrebbero indicare una nuova vulnerabilità zero-day, a seguito di un aumento degli attacchi da parte degli attori del ransomware Akira alla fine di luglio 2025. “Negli ultimi 72 ore, abbiamo osservato un aumento significativo degli incidenti informatici segnalati sia internamente che esternamente, che coinvolgono i firewall SonicWall Gen 7 con SSLVPN abilitato”, ha dichiarato il fornitore di sicurezza di rete in un comunicato. “Stiamo indagando attivamente su questi incidenti per determinare se siano collegati a una vulnerabilità precedentemente divulgata o se una nuova vulnerabilità possa esserne la causa”.
Nel frattempo, le organizzazioni che utilizzano i firewall SonicWall Gen 7 sono invitate a seguire i passaggi seguenti fino a nuovo avviso: disabilitare i servizi SSL VPN dove possibile, limitare la connettività SSL VPN a indirizzi IP fidati, attivare servizi come la protezione Botnet e il filtraggio Geo-IP, applicare l’autenticazione multi-fattore, rimuovere gli account utente locali inattivi o inutilizzati sul firewall, in particolare quelli con accesso SSL VPN, e incoraggiare aggiornamenti regolari delle password su tutti gli account utente.
Questo sviluppo arriva poco dopo che Arctic Wolf ha rivelato di aver identificato un aumento dell’attività del ransomware Akira che prende di mira i dispositivi SonicWall SSL VPN per l’accesso iniziale dalla fine del mese scorso. Huntress, in un’analisi successiva pubblicata lunedì, ha anche affermato di aver osservato attori di minacce che si spostano direttamente sui controller di dominio solo poche ore dopo la violazione iniziale.
Le catene di attacco iniziano con la violazione del dispositivo SonicWall, seguita da un percorso di post-sfruttamento ben noto per condurre enumerazione, evasione della rilevazione, movimento laterale e furto di credenziali. Gli incidenti coinvolgono anche i malintenzionati che disabilitano metodicamente Microsoft Defender Antivirus e cancellano le copie shadow dei volumi prima di distribuire il ransomware Akira. Huntress ha dichiarato di aver rilevato circa 20 attacchi diversi legati all’ultima ondata di attacchi iniziata il 25 luglio 2025, con variazioni osservate nelle tecniche utilizzate per eseguirli, inclusi strumenti per la ricognizione e la persistenza, come AnyDesk, ScreenConnect o SSH.
Ci sono prove che suggeriscono che l’attività possa essere limitata ai firewall SonicWall delle serie TZ e NSa con SSL VPN abilitato, e che il presunto difetto esista nelle versioni del firmware 7.2.0-7015 e precedenti. “La velocità e il successo di questi attacchi, anche contro ambienti con MFA abilitato, suggeriscono fortemente che una vulnerabilità zero-day venga sfruttata in natura”, ha affermato la società di cybersecurity. “Questa è una minaccia critica e in corso”.
Considerazioni finali
Dal nostro punto di vista, la situazione attuale evidenzia l’importanza di mantenere aggiornati i sistemi di sicurezza e di adottare misure preventive per proteggere le infrastrutture IT. Le vulnerabilità zero-day rappresentano una minaccia significativa, e la rapidità con cui gli attori delle minacce possono sfruttarle sottolinea la necessità di una vigilanza costante e di una risposta rapida. Riteniamo che le aziende debbano investire in soluzioni di sicurezza avanzate e formare il personale per riconoscere e rispondere efficacemente agli attacchi informatici. Solo attraverso un approccio proattivo e collaborativo possiamo sperare di mitigare i rischi associati a queste minacce emergenti.
Fonte: The Hackers News
