Especialistas em autenticação multifator - Blog da MFA2GO

Descubra como evitar invasões do ransomware Akira via firewalls SonicWall

Escrito por MFA2GO | Sep 12, 2025 12:26:43 PM

Recentemente foi divulgada mais uma onda de ataques do Akira ransomware aproveitando vulnerabilidades conhecidas em firewalls da SonicWall. Mesmo depois do conserto do CVE‑2024‑40766, falhas de configuração, práticas inseguras e acessos indevidos continuam colocando organizações em risco. Entenda o que está acontecendo e como se proteger.

Desde setembro de 2024, quando a vulnerabilidade CVE‑2024‑40766 em firewalls de nova geração da SonicWall foi corrigida, afiliados do Akira ainda conseguem infiltrar redes que não aplicaram o patch ou que mantêm configurações frágeis. 

Três principais vetores de ataque têm sido observados:

  1. Falha não corrigida (vulnerabilidade CVE‑2024‑40766). Organizações que não fizeram a atualização continuam vulneráveis. 

  2. Configuração insegura do grupo padrão de usuários LDAP (Default Users Group). Quando um usuário faz login via LDAP, ele pode ser automaticamente adicionado a esse grupo local padrão, que, se tiver acesso a serviços sensíveis como VPN SSL ou interfaces administrativas, permite que até contas com permissões limitadas prejudiquem a segurança. 

  3. Portal Virtual Office da SonicWall. Afiliados do Akira estão acessando esse portal para configurar autenticação multifator (MFA/TOTP) em contas já comprometidas. Isso facilita a persistência de invasores. 

Dica de Prevenção

  • Atualize todos os dispositivos SonicWall para a versão mais recente do firmware, aplicando todos os patches críticos, incluindo CVE‑2024‑40766.

  • Redefina senhas locais de todas as contas nos firewalls e retire aquelas que não estão em uso.

  • Altere o “Default LDAP User Group” para “Nenhum” (ou desative este grupo automaticamente concedido).

  • Restrinja o acesso ao Portal Virtual Office para redes confiáveis e monitore quem acessa esse recurso.

  • Habilite MFA/TOTP para logins via SSLVPN ou acesso administrativo.

Este incidente mostra que corrigir vulnerabilidades não basta se a configuração permaneceu insegura ou se permissões indevidas dão brechas. Organizações que ainda usam firewalls SonicWall devem agir de imediato para evitar que o Akira continue explorando essas falhas. Se quiser reforçar sua proteção contra esse tipo de ameaça e conhecer soluções completas para segurança de infraestrutura, visite MFA Vault em mfa2go.com.
Visualizar publicação completa