Varredura em massa de APIs da SonicWall cresce 46 vezes

Pesquisadores da GreyNoise detectaram um aumento expressivo na varredura de APIs de gerenciamento do SonicOS, sistema operacional dos firewalls da SonicWall, entre 9 e 18 de maio. O pico ocorreu no dia 12, com aproximadamente 597 mil sessões registradas em um único dia, um crescimento de 46 vezes em relação à média diária dos 30 dias anteriores.

Esse foi o maior volume diário nos últimos 90 dias para esse tipo de varredura, indicando atividade coordenada e em larga escala voltada a interfaces expostas. Os especialistas da GreyNoise apontam que um padrão semelhante foi observado antes da divulgação da CVE-2026-0400, vulnerabilidade da SonicWall revelada em 24 de fevereiro. Na ocasião, picos ocorreram 37, 25 e 10 dias antes da publicação.

Embora a correlação não confirme uma nova falha, o comportamento sugere uma fase de reconhecimento pré-divulgação por parte de agentes de ameaça.

Infraestrutura consistente

A análise do tráfego revela uniformidade nas ferramentas e na infraestrutura utilizadas. Quase 99% das requisições usam um user-agent do Chrome 119 em Linux x86_64. Cerca de 56% do tráfego origina-se de redes na Holanda e 44% da Ucrânia, respondendo por mais de 99% das sessões. Um único sistema autônomo (AS211736) contribui com metade do volume total de varreduras.

As portas alvo são exclusivamente 80 e 8080 (HTTP), indicando foco em interfaces web de gerenciamento. A maioria dos endereços IP de origem é classificada como suspeita.

Proteção

A GreyNoise recomenda que equipes de segurança restrinjam o acesso às APIs de gerenciamento do SonicOS e ao SSL VPN apenas a intervalos confiáveis de IP, removam a exposição pública dessas interfaces e imponham autenticação multifator para todos os usuários de VPN. Também sugerem auditar sistemas em busca de contas administrativas não autorizadas criadas após 1º de maio e implementar listas dinâmicas de bloqueio de IP.

Embora nenhuma vulnerabilidade nova tenha sido confirmada, os especialistas orientam monitorar avisos da SonicWall PSIRT e preparar a aplicação de patches em até 24 horas após a divulgação, além de aumentar a retenção de logs e ativar alertas para atividade incomum de saída.