دستگاههای فایروال SonicWall از اواخر ژوئیه بهطور فزایندهای هدف موجی از حملات باجافزار Akira قرار گرفتهاند که طبق گزارش شرکت امنیت سایبری Arctic Wolf، به احتمال زیاد از یک آسیبپذیری امنیتی ناشناخته سوءاستفاده میکنند.
پیشینه باجافزار Akira
باجافزار Akira در مارس ۲۰۲۳ ظهور کرد و بهسرعت قربانیان متعددی را در صنایع مختلف در سراسر جهان هدف قرار داد. طی دو سال گذشته، Akira بیش از ۳۰۰ سازمان را به پورتال نشت دادههای خود در دارکوب اضافه کرده و مسئولیت حملات به قربانیان برجستهای مانند Nissan (اقیانوسیه و استرالیا)، Hitachi و Stanford University را بر عهده گرفته است. FBI اعلام کرده که گروه باجافزار Akira تا آوریل ۲۰۲۴ بیش از ۴۲ میلیون دلار از بیش از ۲۵۰ قربانی جمعآوری کرده است.
جزئیات حملات دستگاههای فایروال SonicWall
طبق مشاهدات Arctic Wolf Labs، چندین نفوذ باجافزاری از طریق دسترسی غیرمجاز به اتصالات SSL VPN سونیکوال از ۱۵ ژوئیه آغاز شده است. محققان Arctic Wolf Labs هشدار دادهاند که روشهای دسترسی اولیه در این کمپین هنوز تأیید نشدهاند. در حالی که وجود یک آسیبپذیری روز-صفر بسیار محتمل است، دسترسی به اطلاعات کاربری از طریق حملات بروت فورس، حملات دیکشنری و حملهstuffing اطلاعات کاربری هنوز بهطور قطعی در همه موارد رد نشده است.
در طول این موج از فعالیتهای باجافزاری، مهاجمان بهسرعت از دسترسی اولیه به شبکه از طریق حسابهای SSL VPN به رمزگذاری دادهها روی آوردند، الگویی که با حملات مشابه شناساییشده از اکتبر ۲۰۲۴ سازگار است و نشاندهنده یک کمپین پایدار علیه دستگاههای SonicWall است.
علاوه بر این، Arctic Wolf اشاره کرد که مهاجمان باجافزاری از سرورهای خصوصی مجازی برای احراز هویت VPN استفاده میکنند، در حالی که اتصالات قانونی VPN معمولا از ارائهدهندگان خدمات اینترنتی پهنباند(broadband) سرچشمه میگیرند. محققان امنیتی همچنان در حال بررسی روشهای حمله استفادهشده در این کمپین هستند و به محض در دسترس بودن اطلاعات، جزئیات بیشتری را به مدافعان ارائه خواهند داد.
با توجه به احتمال بالای سوءاستفاده از یک آسیبپذیری روز-صفر SonicWall در دنیای واقعی، Arctic Wolf به مدیران توصیه کرد که بهطور موقت خدمات SSL VPN SonicWall را غیرفعال کنند. همچنین، آنها باید اقدامات امنیتی بیشتری مانند ثبت اتفاقات پیشرفته، نظارت بر اندپوینتها و مسدود کردن احراز هویت VPN از ارائهدهندگان شبکه مرتبط با میزبانی را تا زمان در دسترس شدن پچها پیادهسازی کنند.
آسیبپذیری دیگر در دستگاههای SMA 100
گزارش Arctic Wolf یک هفته پس از آن منتشر شد که SonicWall به مشتریان هشدار داد تا دستگاههای SMA 100 خود را در برابر یک آسیبپذیری امنیتی حیاتی (CVE-2025-40599) که ممکن است برای اجرای کد از راه دور روی دستگاههای بدون پچ سوءاستفاده شود، پچ کنند.
طبق توضیحات شرکت، اگرچه برای سوءاستفاده از CVE-2025-40599 نیاز به امتیازات مدیریتی است و هیچ شواهدی مبنی بر سوءاستفاده فعال از این آسیبپذیری وجود ندارد اما همچنان به مدیران توصیه کرد که دستگاههای SMA 100 خود را ایمن کنند؛ زیرا طبق گزارش محققان گروه اطلاعات تهدید گوگل (GTIG)، این دستگاهها در حال حاضر در حملاتی با استفاده از اطلاعات کاربری سرقتشده برای استقرار بدافزار روتکیت جدید OVERSTEP هدف قرار گرفتهاند.
SonicWall همچنین به مشتریان دارای دستگاههای مجازی یا فیزیکی SMA 100 توصیه کرد که شاخصهای نفوذ (IoCs) از گزارش GTIG را بررسی کنند و پیشنهاد داد که مدیران لاگها را برای دسترسی غیرمجاز و هرگونه فعالیت مشکوک مرور کنند و در صورت یافتن شواهدی از نفوذ، فورا با پشتیبانی SonicWall تماس بگیرند.
