{"id":10931,"date":"2025-08-06T09:27:43","date_gmt":"2025-08-06T15:27:43","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=10931"},"modified":"2025-08-06T09:27:45","modified_gmt":"2025-08-06T15:27:45","slug":"alerta-2025-66-vulnerabilidad-zero-day-en-gen-7-sonicwall","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-66-vulnerabilidad-zero-day-en-gen-7-sonicwall\/","title":{"rendered":"Alerta 2025-66 Vulnerabilidad Zero-Day en Gen 7 SonicWall"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<p>Gen 7 SonicWall con SSLVPN enabled:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Versiones de\u00a0<em>firmware<\/em>\u00a07.2.0-7015 y anteriores.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha reportado una vulnerabilidad de D\u00eda Cero (Zero-Day) cr\u00edtica sin CVE a\u00fan asignado que afecta al componente SSLVPN de SonicWall Gen 7, la misma esta siendo explotado activamente por atacantes y ya se han publicado reportes que actores maliciosos como Akira estan explotandolo para la propagaci\u00f3n de ransomware.<\/p>\n\n\n\n<p>Las cadenas de ataque comienzan con la violaci\u00f3n del dispositivo SonicWall, y luego los atacantes toman una ruta posterior a la explotaci\u00f3n \u00abmuy utilizada\u00bb para realizar enumeraci\u00f3n, evasi\u00f3n de detecci\u00f3n, movimiento lateral y robo de credenciales.<\/p>\n\n\n\n<p>Si bien el equipo de SonicWall ha publicado una la lista de medidas de seguridad adicionales que las organizaciones pueden implementarm en lugar de deshabilitar la VPN, se recomienda encarecidamente que las organizaciones inicien un proceso de respuesta a incidentes para determinar su exposici\u00f3n y si ya fueron comprometidos.<\/p>\n\n\n\n<p>En un informe &nbsp;de GuidePoint Security publicado el 5 de agosto de 2025, se revel\u00f3 que los actores del ransomware Akira aprovecharon dos controladores de Windows, rwdrv.sys y hlpdrv.sys, como parte de una cadena de explotaci\u00f3n Bring Your Own Vulnerable Driver (BYOVD) para desarmar el software de seguridad.<\/p>\n\n\n\n<p>El segundo controlador, hlpdrv.sys, tambi\u00e9n se registra como servicio. Al ejecutarse, modifica la configuraci\u00f3n de DisableAntiSpyware de Windows Defender en \\REGISTRY\\MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows Defender\\DisableAntiSpyware. El malware logra esto mediante la ejecuci\u00f3n de regedit.exe.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n:<\/h2>\n\n\n\n<p>Mientras SonicWall investiga m\u00e1s a fondo, se recomienda a las organizaciones que utilizan firewalls SonicWall Gen 7 que sigan los pasos a continuaci\u00f3n hasta nuevo aviso:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Deshabilite los servicios VPN SSL cuando sea posible<\/li>\n\n\n\n<li>Limite la conectividad VPN SSL a direcciones IP confiables<\/li>\n\n\n\n<li>Activar servicios como Botnet Protection y Geo-IP Filtering<\/li>\n\n\n\n<li>Aplicar la autenticaci\u00f3n multifactor &#8211; MFA<\/li>\n\n\n\n<li>Elimine las cuentas de usuario locales inactivas o no utilizadas en el firewall, en particular aquellas con acceso VPN SSL<\/li>\n\n\n\n<li>Fomentar la actualizaci\u00f3n peri\u00f3dica de contrase\u00f1as en todas las cuentas de usuario<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/thehackernews.com\/2025\/08\/sonicwall-investigating-potential-ssl.html\">https:\/\/thehackernews.com\/2025\/08\/sonicwall-investigating-potential-ssl.html<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.incibe.es\/incibe-cert\/alerta-temprana\/avisos\/vulnerabilidad-0day-en-firewalls-de-sonicwall-gen-7?sstc=u88504nl572772\">https:\/\/www.incibe.es\/incibe-cert\/alerta-temprana\/avisos\/vulnerabilidad-0day-en-firewalls-de-sonicwall-gen-7?sstc=u88504nl572772<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.sonicwall.com\/support\/notices\/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity\/250804095336430\">https:\/\/www.sonicwall.com\/support\/notices\/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity\/250804095336430<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.huntress.com\/blog\/exploitation-of-sonicwall-vpn\">https:\/\/www.huntress.com\/blog\/exploitation-of-sonicwall-vpn<\/a><\/li>\n\n\n\n<li>https:\/\/arcticwolf.com\/resources\/blog\/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn\/<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n","protected":false},"featured_media":10932,"template":"","class_list":["post-10931","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"66","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10931","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10931\/revisions"}],"predecessor-version":[{"id":10934,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10931\/revisions\/10934"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10932"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10931"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}