O SonicWall confirmou que a recente onda de ataques contra firewalls Gen 7 com SSL VPN não se deve a uma vulnerabilidade zero-day, mas sim a uma falha já conhecida e corrigida em 2024, identificada como CVE-2024-40766. Segundo a empresa, menos de 40 organizações foram afetadas desde meados de julho, e todos os incidentes têm relação com configurações incorretas após migrações de sistemas.
A vulnerabilidade explorada é um erro de controle de acesso com pontuação CVSS de 9.8, já listado pela CISA como vulnerabilidade conhecida explorada. Muitos casos ocorreram quando empresas migraram de firewalls Gen 6 para Gen 7 sem redefinir senhas de acesso local importadas do sistema anterior, descumprindo recomendações essenciais do fabricante. Embora no início houvesse suspeita de um zero-day, a confirmação do SonicWall apontou que os ataques tiraram proveito dessa falha já documentada. A velocidade e a sofisticação das invasões, mesmo em ambientes protegidos por autenticação multifator, reforçam que credenciais antigas expostas representam um vetor de risco significativo. Para mitigar o problema, a empresa orienta atualizar o firmware para a versão 7.3.0, que adiciona proteções contra ataques de força bruta e melhorias no uso de MFA. Também recomenda redefinir todas as senhas locais herdadas de migrações, habilitar serviços de bloqueio de botnets, aplicar geofiltros e remover contas inativas.
O FBI e a CISA acompanham o caso, enquanto empresas de segurança como Arctic Wolf e Huntress investigam incidentes que, em alguns casos, foram associados ao ransomware Akira. Isso reforça a relação entre vulnerabilidades em firewalls e ataques de extorsão digital de alto impacto. Especialistas alertam que negligenciar etapas críticas de segurança em processos de atualização de infraestrutura pode deixar brechas abertas por meses ou até anos, mesmo após patches estarem disponíveis.
