Een kritieke kwetsbaarheid in de firewalls van SonicWall wordt gebruikt bij ransomware-aanvallen, zo stellen verschillende securitybedrijven. De kwetsbaarheid (CVE-2024-40766) is aanwezig in de management acces- en SSLVPN-feature van SonicOS, het besturingssysteem dat op de firewalls van SonicWall draait. Via het beveiligingslek kan een aanvaller ongeautoriseerde toegang tot resources krijgen of de firewall laten crashen.

Onlangs liet SonicWall weten dat aanvallers actief misbruik van het beveiligingslek maken. Zowel securitybedrijf Rapid7 als Arctic Wolf melden dat het hierbij ook om ransomware-aanvallen gaat. Bij de aanvallen weten de aanvallers SSLVPN-accounts op de SonicWall-firewalls te compromitteren. Bij de waargenomen aanvallen ging het om lokale accounts die werden gecompromitteerd en waarvoor multifactorauthenticatie (MFA) was uitgeschakeld.

SonicWall heeft updates voor het probleem beschikbaar gemaakt en organisaties worden opgeroepen die te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt ook voor actief misbruik en heeft federale overheidsinstanties die van SonicWall gebruikmaken opgedragen de update voor 30 september te installeren.