Компания SonicWall заявила, что операторы вымогателя Akira эксплуатировали старую уязвимость в недавних атаках на межсетевые экраны SonicWall 7-го поколения с включенным SSL VPN. Ранее предполагалось, что злоумышленники использовали уязвимость нулевого дня.
После проведения внутреннего расследования и изучения 40 инцидентов, в компании пришли к выводу, что хакеры атаковали уязвимость CVE-2024-40766, связанную с возможностью получения несанкционированного доступа и исправленную еще в августе 2024 года.
«Теперь мы уверены, что недавняя активность вокруг SSL VPN не была связана с уязвимостью нулевого дня, — говорится в заявлении SonicWall. — Напротив, существует очевидная корреляция с проблемой CVE-2024-40766, которая ранее была раскрыта и задокументирована в нашем публично доступном бюллетене SNWLID-2024-0015».
|
CVE-2024-40766 представляет собой критическую уязвимость управления доступом к SSL VPN в SonicOS. Она позволяет получить несанкционированный доступ к уязвимым эндпоинтам, что позволяет злоумышленникам перехватывать сеансы или получать VPN-доступ в защищенных средах.
В прошлом году, после раскрытия информации об этой уязвимости, она активно эксплуатировалась хакерам, включая операторов вымогательского ПО (Akira и Fog), которые использовали ее для компрометации корпоративных сетей.
Напомним, что на прошлой неделе специалисты из компании Arctic Wolf
предупредили, что с 15 июля 2025 года они фиксируют атаки с применением вымогателя Akira, и предположили, что преступники могут использовать в этой кампании 0-day уязвимость в межсетевых экранах SonicWall 7-го поколения.
Вскоре эти выводы подтвердили специалисты компании Huntress, которые опубликовали собственный отчет, содержащий индикаторы компрометации, собранные в ходе изучения этой кампании.
Эксперты рекомендовали администраторам временно отключить службы SonicWall SSL VPN из-за высокой вероятности того, что в атаках используется связанная с ними уязвимость.
Как теперь
заявляют в SonicWall, на самом деле от атак Akira пострадали пользователи, которые не следовали рекомендациям производителя для защиты от CVE-2024-40766 при переходе с брандмауэров 6-го поколения на брандмауэры 7-го поколения.
«Многие инциденты связаны с миграцией с межсетевых экранов Gen 6 на Gen 7, когда пароли локальных пользователей переносились во время миграции и не сбрасывались, — объясняют специалисты. — Сброс паролей являлся важным шагом, о котором говорилось в исходном бюллетене безопасности».
|
Теперь в компании рекомендуют обновить прошивку до версии 7.3.0 или более поздней, в которой усилена МФА (многофакторная аутентификация) и защита от брутфорса, а также сбросить все пароли локальных пользователей, особенно те, которые используются для SSL VPN.
Следует отметить, что пользователи Reddit
считают, что заявления производителя могут быть не совсем точны и явно не совпадают с их собственным опытом. Так, некоторые люди
пишут, что взлом был связан с аккаунтами, которых вообще не существовало до миграции на брандмауэры 7-го поколения. А другие утверждают, что представители SonicWall отказались анализировать предоставленные им логи.
Source:
https://xakep.ru/2025/08/08/sonicwall-akira/