SonicWall, noto fornitore di soluzioni per la sicurezza di rete, sta indagando su una possibile vulnerabilità zero-day che interessa i firewall Gen 7 con funzione SSL VPN attiva. L’allarme è scattato dopo un aumento significativo di attacchi informatici, in particolare da parte del gruppo ransomware Akira, registrati tra la fine di luglio e l’inizio di agosto 2025. In appena 72 ore sono state segnalate oltre 20 intrusioni mirate, sia internamente che esternamente, tutte su dispositivi SonicWall con SSL VPN abilitata.

Catena di attacco e strumenti utilizzati

Secondo le prime analisi, gli aggressori sfruttano una catena di attacco consolidata: compromissione iniziale dell’appliance SonicWall, spostamento rapido verso i controller di dominio, disattivazione delle difese come Microsoft Defender e cancellazione delle shadow copy dei volumi prima di lanciare il ransomware Akira. Gli strumenti usati per persistenza e movimento laterale comprendono AnyDesk, ScreenConnect e SSH.

Misure di mitigazione consigliate da SonicWall

SonicWall consiglia alle organizzazioni di adottare urgentemente alcune misure di mitigazione, tra cui la disattivazione della funzione SSL VPN dove possibile, la limitazione dell’accesso VPN agli indirizzi IP fidati, l’attivazione della protezione Botnet e del filtro Geo-IP, l’implementazione dell’autenticazione a più fattori e la rimozione degli account locali inutilizzati, specialmente quelli abilitati all’accesso VPN. La modifica periodica delle password resta una buona pratica raccomandata.

Indicazioni sulla vulnerabilità zero-day

Nonostante l’uso di autenticazione multi-fattore, la rapidità e l’efficacia delle azioni degli attaccanti suggeriscono fortemente la presenza di una vulnerabilità zero-day, probabilmente non ancora resa pubblica e sfruttata attivamente. A supporto di questa tesi, le indagini hanno rilevato che le compromissioni interessano in particolare i firewall delle serie TZ e NSa, con firmware fino alla versione 7.2.0-7015.

Tecniche avanzate di evasione

Ulteriori dettagli tecnici emersi grazie alla collaborazione di GuidePoint Security descrivono l’utilizzo da parte degli affiliati Akira di due driver Windows vulnerabili, rwdrv.sys e hlpdrv.sys, per disabilitare i sistemi di difesa a livello kernel attraverso la tecnica BYOVD (Bring Your Own Vulnerable Driver). Questi driver vengono registrati come servizi e sfruttati per disattivare la protezione antispyware di Windows Defender tramite modifiche al registro di sistema.

Raccomandazioni e monitoraggio

Le indagini sono in corso e SonicWall invita tutte le aziende che utilizzano i propri firewall Gen 7 a monitorare attentamente l’infrastruttura, applicare le contromisure suggerite e avviare tempestivamente procedure di incident response per valutare l’esposizione e limitare i rischi di compromissione.