Uma nova onda de ataques do ransomware Akira está colocando administradores de sistemas em estado de alerta — especialmente aqueles que operam dispositivos SonicWall Gen 7 com SSL VPN habilitado. Inicialmente, os indícios apontavam para uma perigosa falha de dia zero, o que gerou pânico e desconfiança entre especialistas em segurança cibernética. No entanto, a SonicWall nega essa narrativa e afirma que os incidentes estão relacionados a uma vulnerabilidade já corrigida meses antes, reabrindo uma discussão crítica sobre responsabilidade na segurança digital.
Neste artigo, vamos analisar a fundo essa controvérsia, explicando tecnicamente a vulnerabilidade CVE-2024-40766, as ações tomadas (ou negligenciadas) pela SonicWall, a reação da comunidade técnica e, o mais importante, como você pode se proteger agora. Em tempos em que os ataques a infraestruturas digitais se tornam mais frequentes e sofisticados, compreender os bastidores dessa crise é essencial.

O que está acontecendo: ataques do ransomware Akira e a suspeita de dia zero
O grupo ransomware Akira, conhecido por ataques direcionados a empresas com alta dependência de conectividade remota, encontrou nos firewalls SonicWall Gen 7 com SSL VPN um novo vetor de ataque. A brecha permitiu invasões bem-sucedidas, com criptografia de dados e pedidos de resgate em criptomoedas, prática padrão dos operadores do Akira.
Pesquisadores da Arctic Wolf Labs foram os primeiros a sugerir que os ataques poderiam estar explorando uma vulnerabilidade de dia zero — um tipo de falha ainda desconhecida pelo fornecedor, para a qual não existe correção disponível no momento da exploração. Isso gerou preocupação imediata, pois sistemas teoricamente atualizados estavam sendo comprometidos.
Como medida emergencial, a própria SonicWall recomendou, nos primeiros comunicados, desativar o acesso via SSL VPN, o que reforçou a percepção de que uma falha crítica e desconhecida estava sendo explorada.
A resposta oficial da SonicWall: falha antiga e erro de migração
Poucos dias depois, a SonicWall publicou o boletim SNWLID-2024-0015, negando a existência de uma falha de dia zero. Segundo a empresa, os ataques estão explorando a CVE-2024-40766, uma falha de controle de acesso já corrigida em agosto de 2024, com a liberação da versão de firmware 7.3.0.
A SonicWall também aponta para um erro operacional durante a migração de configurações de dispositivos da 6ª geração para a 7ª geração, especialmente no que se refere às senhas de usuários locais.
Entendendo a vulnerabilidade CVE-2024-40766
A CVE-2024-40766 é uma falha que permite a um invasor, em determinadas condições, burlar as verificações de autenticação e acessar remotamente a interface de administração ou os serviços expostos via SSL VPN. Trata-se de uma falha crítica, com alto potencial de exploração se os dispositivos não estiverem atualizados ou configurados corretamente.
O erro crítico na migração de senhas
De acordo com a SonicWall, muitos clientes migraram suas configurações da 6ª para a 7ª geração de firewalls sem seguir a recomendação de redefinir todas as senhas de usuários locais. Como resultado, essas credenciais antigas (e potencialmente fracas) permaneceram válidas, permitindo que o ransomware Akira as utilizasse para ganhar acesso inicial aos sistemas.
A falha, portanto, não estaria no código novo, mas sim na manutenção de configurações inseguras durante a atualização de plataforma, algo que a empresa afirma ter alertado previamente em sua documentação.
A comunidade contesta: a desconfiança persiste
Apesar da explicação técnica e da negação de uma falha inédita, muitos profissionais de segurança não estão convencidos. Discussões no Reddit e em fóruns especializados apontam para contradições e relatos que desafiam a versão oficial da SonicWall.
Entre os questionamentos mais recorrentes estão:
- Casos em que contas de usuário comprometidas não existiam antes da migração, contradizendo a hipótese da empresa.
- Suposta recusa da SonicWall em analisar logs fornecidos por empresas afetadas, o que dificulta a verificação cruzada de informações.
- A percepção de que a empresa demorou para reconhecer a gravidade dos ataques e falhou em comunicar com clareza os riscos reais.
Para muitos especialistas, mesmo que a falha tenha sido tecnicamente corrigida meses antes, a falta de proatividade e a ambiguidade nas orientações da SonicWall contribuíram para ampliar os danos.
Passos imediatos para proteção e mitigação
Diante da ameaça real representada pelo ransomware Akira e da complexidade do cenário, administradores de sistemas devem agir com rapidez e precisão. A seguir, listamos ações críticas recomendadas por especialistas e pelo próprio fornecedor:
- Atualize o firmware: Instale a versão 7.3.0 ou superior nos dispositivos SonicWall Gen 7. Essa versão contém as correções para a CVE-2024-40766.
- Redefina TODAS as senhas de usuários locais: Especialmente aquelas utilizadas para acesso via SSL VPN. Mesmo senhas consideradas fortes devem ser renovadas, pois podem ter sido comprometidas.
- Habilite o MFA (Autenticação Multifator): O uso de MFA adiciona uma camada extra de proteção essencial, mesmo que as credenciais sejam obtidas por terceiros.
- Monitore os logs de acesso: Verifique acessos suspeitos ou não autorizados, especialmente conexões remotas com origem incomum.
- Revise as permissões de usuários locais: Limite privilégios desnecessários e verifique se há contas inativas que podem ser desativadas.
- Considere a segmentação de rede: Em casos mais críticos, o isolamento de determinados ativos pode prevenir movimentações laterais de atacantes dentro do ambiente comprometido.
Conclusão: lições aprendidas além da falha
A controvérsia em torno da falha SonicWall, seja ela de dia zero ou não, revela algo mais profundo do que uma simples vulnerabilidade. Ela expõe fragilidades nos processos de migração, falhas na comunicação corporativa e a importância vital de boas práticas de segurança, mesmo quando se utiliza ferramentas de ponta.
Independentemente da causa raiz, a ameaça representada pelo ransomware Akira é concreta e exige respostas rápidas e assertivas. A confiança entre fornecedores e usuários é um pilar crítico da segurança cibernética — e quando essa confiança é abalada, os riscos se multiplicam.
Sua empresa foi afetada ou você tem uma opinião sobre a comunicação da SonicWall neste caso? Compartilhe sua experiência e visão nos comentários abaixo. A discussão é essencial para fortalecer o ecossistema de segurança como um todo.