شرکت سونیکوال به مشتریان خود هشدار داده است که به دلیل احتمال سوءاستفاده گروههای باجافزاری از یک آسیبپذیری امنیتی ناشناخته در فایروالهای Gen 7 SonicWall برای نفوذ به شبکهها طی هفتههای گذشته، خدمات SSLVPN را غیرفعال کنند.
هشدار SonicWall
این هشدار پس از گزارش Arctic Wolf Labs در روز 1 آگوست منتشر شد(و Vulnerbyte آن را پوشش داد) که اعلام کرد چندین حمله باجافزاری Akira را از ۱۵ ژوئیه مشاهده کرده است، که احتمالا از یک آسیبپذیری روز-صفر (zero-day) سونیکوال سوءاستفاده میکنند.
محققان Arctic Wolf Labs اظهار داشتند که روشهای دسترسی اولیه در این کمپین هنوز تأیید نشدهاند. اگرچه وجود یک آسیبپذیری روز-صفر بسیار محتمل است؛ اما دسترسی از طریق حملات بروتفورس (brute force)، حملات دیکشنری و پر کردن اطلاعات ورود (credential stuffing) در همه موارد بهطور قطعی رد نشده است.
Arctic Wolf همچنین به مدیران سونیکوال توصیه کرد که خدمات SSL VPN را بهطور موقت غیرفعال کنند؛ زیرا احتمال قوی وجود دارد که یک آسیبپذیری روز-صفر سونیکوال در این حملات مورد سوءاستفاده قرار گرفته باشد.
شرکت امنیت سایبری Huntress نیز روز 4 آگوست یافتههای Arctic Wolf را تأیید کرد و گزارشی منتشر نمود که شامل شاخصهای نفوذ (IOCs) جمعآوریشده در جریان بررسی این کمپین بود. Huntress هشدار داد که یک آسیبپذیری احتمالی روز-صفر در VPNهای سونیکوال بهطور فعال برای دور زدن احراز هویت چندمرحلهای (MFA) و استقرار باجافزار مورد سوءاستفاده قرار میگیرد. این شرکت به مدیران توصیه کرد که فورا خدمات VPN را غیرفعال کنند یا دسترسی به آن را از طریق فهرست مجاز آدرسهای IP بهشدت محدود کنند؛ زیرا مهاجمان ظرف چند ساعت پس از نفوذ اولیه به کنترلکنندههای دامنه دسترسی پیدا میکنند.
سونیکوال در همان روز تأیید کرد که از این کمپین آگاه است و اطلاعیهای منتشر نمود که به مشتریان توصیه میکند فایروالهای خود را با اقدامات زیر در برابر حملات جاری ایمن کنند:
- غیرفعال کردن خدمات SSL VPN در صورت امکان.
- محدود کردن اتصال SSL VPN به آدرسهای IP منبع قابلاعتماد.
- فعال کردن خدمات امنیتی مانند Botnet Protection و Geo-IP Filtering برای شناسایی و مسدود کردن عاملان تهدید شناختهشده که اندپوینتهای SSL VPN را هدف قرار میدهند.
- اعمال احراز هویت چندمرحلهای (MFA) برای تمام دسترسیهای از راه دور بهمنظور کاهش خطر سوءاستفاده از اطلاعات ورود به حساب.
- حذف حسابهای کاربری استفادهنشده.
سونیکوال اعلام کرد که در چند روز اخیر، افزایش قابلتوجهی در حوادث سایبری گزارششده داخلی و خارجی مرتبط با فایروالهای Gen 7 که SSLVPN در آنها فعال است، مشاهده شده است. این شرکت در حال بررسی این حوادث است تا مشخص کند آیا آنها به یک آسیبپذیری قبلا فاششده مرتبط هستند یا ممکن است یک آسیبپذیری جدید مسئول باشد. سونیکوال به مشتریان توصیه کرد که هوشیار باشند و اقدامات ذکرشده را فورا اعمال کنند تا در طول تحقیقات، آسیبپذیری کاهش یابد.
گزارش پیشین آسیب پذیری SonicWall
دو هفته پیش، سونیکوال به مدیران هشدار داد که دستگاههای SMA 100 خود را در برابر یک آسیبپذیری امنیتی حیاتی (CVE-2025-40599) پچ کنند که ممکن است برای اجرای کد از راه دور در دستگاههای پچنشده مورد سوءاستفاده قرار گیرد. اگرچه برای سوءاستفاده از CVE-2025-40599 نیاز به امتیازات مدیریتی است و در حال حاضر هیچ شواهدی از سوءاستفاده فعال از این آسیبپذیری وجود ندارد، سونیکوال همچنان به مشتریان توصیه کرد که دستگاههای SMA 100 خود را ایمن کنند، زیرا این دستگاهها در حال حاضر در حملاتی که از اطلاعات ورود به خطر افتاده برای استقرار بدافزار روتکیت جدید OVERSTEP استفاده میکنند، هدف قرار گرفتهاند.
