Компания SonicWall предупредила своих клиентов о необходимости отключить SSL VPN, поскольку в последние недели вымогатели эксплуатируют потенциальную уязвимость в межсетевых экранах SonicWall 7-го поколения.
На прошлой неделе специалисты из компании Arctic Wolf сообщили, что с 15 июля 2025 года они зафиксировали уже несколько атак с применением вымогателя Akira, и предположили, что преступники могут использовать в атаках 0-day уязвимость в продуктах SonicWall.
«Методы, использованные для получения первоначального доступа в ходе этой кампании, пока не подтверждены, — писали исследователи. — Хотя существование уязвимости нулевого дня весьма вероятно, доступ к учетным данным путем брутфорса, словарных атак и credential stuffing пока тоже нельзя исключить во всех случаях».
Эксперты рекомендовали администраторам временно отключить службы SonicWall SSL VPN из-за высокой вероятности того, что в атаках используется связанная с ними уязвимость.
Позже специалисты компании Huntress подтвердили выводы коллег и опубликовали собственный отчет, содержащий индикаторы компрометации, собранные в ходе изучения этой кампании.
«Потенциальная уязвимость нулевого дня в VPN-службах SonicWall активно эксплуатируется для обхода многофакторной аутентификации и развертывания вымогательских программ, — предупреждает Huntress.
Специалисты тоже рекомендовали немедленно отключить VPN-службу или серьезно ограничить доступ с помощью списка разрешенных IP-адресов.
«Мы наблюдали, что злоумышленники переходят к атакам непосредственно на контроллеры доменов в течение нескольких часов после первоначального взлома», — предостерегали в Huntress.
В тот же день представители SonicWall подтвердили, что компании уже известно об этих атаках. Производитель опубликовал бюллетень безопасности, призывающий клиентов защитить свои межсетевые экраны от продолжающихся атак следующим образом:
- отключить службы SSL VPN, когда это возможно;
- ограничить SSL VPN-подключения доверенными IP-адресами;
- включить защиту, включая защиту от ботнетов и гео-фильтрацию IP-адресов для выявления и блокировки известных угроз;
- использовать многофакторную аутентификацию для всех случаев удаленного доступа, чтобы минимизировать риски злоупотребления учетными данными;
- удалить неиспользуемые аккаунты.
«В последние 72 часа наблюдается заметный рост количества как внутренних, так и внешних сообщений о киберинцидентах, связанных с межсетевыми экранами SonicWall 7-го поколения, где включен SSL VPN, — заявили в компании. — Мы тщательно изучаем эти инциденты, чтобы определить, связаны ли они с какой-то ранее обнаруженной уязвимостью или же причиной может быть новая уязвимость. Пожалуйста, сохраняйте бдительность и немедленно примените вышеперечисленные меры, чтобы снизить риски, пока мы продолжаем расследование».
