Il 16 aprile 2026 SonicWall ha posto fine al supporto per la generazione 6 dei propri firewall, ma un audit pubblicato da SANS Internet Storm Center su 14 dispositivi Gen7 mostra un problema più profundo: la patch firmware per CVE-2024-40766 ha corretto la vulnerabilità tecnica, ma la superficie di attacco persiste attraverso configurazioni residue non sanate. Gli attaccanti non sviluppano nuovi exploit: accedono con credenziali valide su account che non dovrebbero esistere.
- Su 14 firewall SonicWall Gen7 auditati, 12 avevano account SSLVPN locali non presenti in Active Directory e 11 non avevano ruotato le password dopo l'upgrade da Gen6.
- 9 dispositivi su 14 esibivano la Default LDAP User Group mappata a un gruppo con accesso SSLVPN, erogando permessi impliciti a tutti gli account del dominio.
- Arctic Wolf ha documentato tempi di permanenza inferiore a 4 ore, con casi a 55 minuti tra accesso iniziale e cifratura.
- SonicWall ha confermato con alta confidenza che le attività del 2025 si riconducevano a CVE-2024-40766 nota, non a un nuovo zero-day.
Dal KEV al "configuration debt": cosa cambia dopo la patch
CVE-2024-40766 è un'improper access vulnerability in SonicOS con CVSS 9.3 secondo SANS ISC, affettante le generazioni 5, 6 e 7. Il National Vulnerability Database registra il vettore CVSS:3.1 come AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. CISA ha inserito il CVE nel catalogo KEV il 9 settembre 2024, con due date di remediation fissate al 30 settembre 2024. Gruppi ransomware come Akira e Fog hanno sfruttato la falla da settembre 2024.
La correzione tecnica è disponibile, ma l'analisi di SANS su 14 firewall dimostra che la remediation firmware non ha sanato la dimensione configurativa. I dati quantitativi sono netti: 12 dispositivi su 14 ospitavano account SSLVPN locali assenti da Active Directory; 11 su 14 non avevano ruotato le password dei account locali dopo l'upgrade firmware; 10 su 14 operavano senza restrizioni source-IP sull'autenticazione SSLVPN; 9 su 14 avevano la Default LDAP User Group mappata a un gruppo con permessi SSLVPN.
Quest'ultimo punto è particolarmente rilevante. La Default LDAP User Group eredita implicitamente i permessi assegnati al gruppo di riferimento: se questo include l'accesso SSLVPN, ogni account Active Directory acquisisce tale capacità senza configurazione esplicita. Secondo SANS, su 7 dispositivi su 14 il Virtual Office Portal era esposto a internet, consentendo a un attaccante con credenziali valide di enrolare autonomamente un dispositivo TOTP e aggirare l'MFA.
"The attackers are not breaking in through novel exploits. They are logging in with valid credentials to accounts that should not exist on devices that were patched but never cleaned up." — SANS Internet Storm Center
La migrazione Gen6→Gen7: il trasporto delle credenziali non resettate
SonicWall, attraverso l'advisory aggiornato citato da Huntress, ha confermato che "many of the incidents appear to relate to migrations from sixth-generation to seventh-generation firewalls, where local user passwords were carried over during the migrations and were not reset after". La generazione 6 ha raggiunto l'EOL il 16 aprile 2026, escludendo ulteriori patch.
Il meccanismo è identificabile: durante la migrazione, i tool di trasferimento configurazione preservano gli account locali e le relative hash. Se le password non vengono esplicitamente resettate, gli account obsoleti — spesso creati anni prima per amministratori o fornitori — restano attivi con credenziali potenzialmente compromesse in precedenti breach o esposte attraverso altri canali.
SANS segnala un indicatore di compromissione specifico: "A human administrator does not create accounts with null bytes in the username". La presenza di tali account suggerisce creazione automatizzata da parte di tool di exploitation, distinguendo gli artefatti tecnici della compromissione dalle configurazioni legittime.
L'industrializzazione dell'accesso: Akira, Fog e il tempo di permanenza
La distribuzione dei gruppi ransomware nelle intrusioni 2025 è asimmetrica: circa il 75% attribuibile ad Akira, il 25% a Fog. I dati di Arctic Wolf indicano tempi di permanenza inferiori a 4 ore, con un caso documentato a 55 minuti tra l'accesso iniziale e la cifratura. Questa velocità è compatibile con l'uso di credenziali valide piuttosto che con la ricerca e sviluppo di exploit zero-day.
Macnica ha stimato circa 48.933 dispositivi ancora pubblicamente esposti e non patchati a dicembre 2024, su una base installata di quasi 500.000 business in 215 paesi. Il dato riguarda l'esposizione, non la compromissione: non tutti i dispositivi esposti sono stati violati.
SonicWall ha inoltre documentato un'evoluzione nelle proprie stime interne: la percentuale di clienti MySonicWall con backup compromessi è passata da meno del 5% iniziale al 100% finale entro settembre 2025, indicando che gli attaccanti hanno progressivamente esaurito il pool di target vulnerabili.
Perché è importante
Il dossier non specifica misure correttive automatizzabili per la dimensione configurativa. L'advisory vendor originale include raccomandazioni di restrizione IP, MFA e rotazione password, ma non tratta esplicitamente il problema della persistenza post-migrazione. La fonte non documenta se CVE-2024-12802, un'autenticazione bypass MFA con CVSS 9.1 che richiede 6 passaggi manuali LDAP oltre alla patch firmware, interessi anche la generazione 7: il brief la menziona solo per Gen6.
SANS non qualifica i 14 firewall auditati come campione rappresentativo della base installata globale, e la data esatta di pubblicazione dell'analisi non è rilevata nel feed RSS. Il numero totale di organizzazioni effettivamente compromesse resta sconosciuto, così come l'entità della compromissione della piattaforma MySonicWall: il dossier non stabilisce se le credenziali cifrate siano state effettivamente decifrate dagli attaccanti.
L'episodio dimostra i limiti del modello "patch-and-forget" quando la vulnerabilità include una dimensione configurativa non automatizzabile dalla vendor. I dispositivi tecnicamente conformi restano operativamente compromessi, e gli attaccanti industrializzano l'accesso attraverso credenziali residue anziché investire in nuovi exploit. Per il settore enterprise, la questione non è se patchare, ma cosa succede dopo.
Domande frequenti
La patch per CVE-2024-40766 è inefficace?
No. La patch corregge la vulnerabilità tecnica improper access control. Il problema è che la remediation non ha incluso la sanazione delle configurazioni residue, permettendo agli attaccanti di aggirare la protezione con credenziali valide.
Posso verificare se il mio firewall è a rischio?
L'audit SANS indica cinque elementi di verifica: account SSLVPN locali non presenti in Active Directory, password non ruotate post-upgrade, assenza di restrizioni source-IP, Default LDAP User Group mappata a gruppo con accesso SSLVPN, Virtual Office Portal esposto a internet. La fonte non fornisce tool automatici per questa verifica.
Qual è la relazione tra CVE-2024-40766 e CVE-2024-12802?
Sono vulnerabilità distinte. CVE-2024-12802 è un bypass MFA con CVSS 9.1 che richiede 6 passaggi manuali LDAP oltre alla patch firmware. Il brief la menziona solo per la generazione 6, non documentandone la presenza su Gen7.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://isc.sans.edu/diary/rss/33094
- https://nvd.nist.gov/vuln/detail/cve-2024-40766
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015
- https://www.huntress.com/blog/exploitation-of-sonicwall-vpn