La recente ondata di attacchi contro i firewall SonicWall Gen 7 e successivi, con funzionalità SSL VPN attive, ha destato molta preoccupazione nel settore della sicurezza informatica. SonicWall ha confermato che questi attacchi non sono dovuti a una vulnerabilità zero-day, ma sono invece collegati a una falla già nota e corretta, identificata come CVE-2024-40766, e all'uso ripetuto delle stesse password da parte degli utenti.

La vulnerabilità CVE-2024-40766

La vulnerabilità CVE-2024-40766, con un punteggio di gravità CVSS pari a 9.3, era stata resa pubblica nell’agosto 2024. Si tratta di un problema di controllo degli accessi in SonicOS che consentiva a malintenzionati di accedere senza autorizzazione alle risorse del firewall, e in alcune circostanze poteva anche causarne il crash. Nonostante il rilascio della patch, molti sistemi sono rimasti esposti, soprattutto a causa di password non aggiornate durante la migrazione da firewall Gen 6 a Gen 7, un passaggio che SonicWall raccomandava di accompagnare con il reset delle credenziali.

Raccomandazioni e mitigazione

L’azienda ha spiegato che la maggior parte degli incidenti riguarda proprio queste migrazioni senza cambio password e sottolinea l’importanza di adottare le linee guida per la mitigazione del rischio. Tra le raccomandazioni principali figurano:

• Aggiornamento del firmware a SonicOS 7.3.0
• Reset delle password di tutti gli account locali abilitati all’accesso SSLVPN, soprattutto se migrati da Gen 6
• Abilitazione della protezione Botnet e del Geo-IP Filtering
• Implementazione di policy di password robuste
• Uso dell’autenticazione a più fattori (MFA)
• Eliminazione degli account inutilizzati

Un contesto di minacce crescenti

Il problema si inserisce in un più ampio contesto di minacce che sfruttano proprio le appliance VPN. Diversi vendor di sicurezza hanno osservato un incremento di attacchi che sfruttano le falle nei dispositivi SonicWall SSL VPN per veicolare ransomware come Akira. Già nel 2024, Arctic Wolf aveva segnalato che i gruppi Akira e Fog prendevano di mira i firewall SonicWall non aggiornati, riuscendo a compromettere le reti delle vittime.

L’importanza della gestione delle credenziali

Secondo gli ultimi dati, anche nel 2025 sono stati registrati numerosi incidenti riconducibili a questa vulnerabilità e all’uso di password già compromesse. SonicWall ribadisce quindi l’importanza di aggiornare tempestivamente i dispositivi e adottare strategie di sicurezza che comprendano sia la protezione tecnologica che la gestione delle credenziali.