يحذر الخبراء من اختراق SonicWall VPN واسع النطاق والذي يؤثر على أكثر من 100 حساب
حذرت شركة Huntress للأمن السيبراني يوم الجمعة من “تسوية واسعة النطاق” لأجهزة SonicWall SSL VPN للوصول إلى بيئات عملاء متعددة.
“تقوم الجهات الفاعلة في مجال التهديد بالمصادقة على حسابات متعددة بسرعة عبر الأجهزة المخترقة”. قال. “إن سرعة وحجم هذه الهجمات تشير إلى أن المهاجمين يبدو أنهم يتحكمون في بيانات الاعتماد الصالحة بدلاً من القوة الغاشمة.”
يقال إن جزءًا كبيرًا من النشاط قد بدأ في 4 أكتوبر 2025، مع تأثر أكثر من 100 حساب SonicWall SSL VPN عبر 16 حسابًا للعملاء. في الحالات التي حققت فيها Huntress، نشأت عمليات المصادقة على أجهزة SonicWall من عنوان IP 202.155.8[.]73.
وأشارت الشركة إلى أنه في بعض الحالات، لم يشارك ممثلو التهديد في المزيد من الإجراءات العدائية في الشبكة وانفصلوا بعد فترة قصيرة من الزمن. ومع ذلك، في حالات أخرى، تم العثور على المهاجمين وهم يقومون بنشاط فحص الشبكة ويحاولون الوصول إلى العديد من حسابات Windows المحلية.
ويأتي هذا الكشف بعد فترة وجيزة من اعتراف SonicWall بأن حادثًا أمنيًا أدى إلى الكشف غير المصرح به عن ملفات النسخ الاحتياطي لتكوين جدار الحماية المخزنة في حسابات MySonicWall. الاختراق حسب اخر تحديث يؤثر جميع العملاء الذين استخدموا خدمة النسخ الاحتياطي السحابية الخاصة بـ SonicWall.
“تقوم ملفات تكوين جدار الحماية بتخزين معلومات حساسة يمكن الاستفادة منها من قبل جهات التهديد لاستغلال شبكة المؤسسة والوصول إليها،” Arctic Wolf قال. “يمكن أن تزود هذه الملفات جهات التهديد بمعلومات مهمة مثل إعدادات المستخدم والمجموعة والمجال وإعدادات DNS والسجل والشهادات.”
ومع ذلك، أشارت هانتريس إلى أنه لا يوجد دليل في هذه المرحلة يربط الانتهاك بالارتفاع الأخير في التنازلات.
وبالنظر إلى أن بيانات الاعتماد الحساسة يتم تخزينها ضمن تكوينات جدار الحماية، يُنصح المؤسسات التي تستخدم خدمة النسخ الاحتياطي للتكوين السحابي MySonicWall بإعادة تعيين بيانات الاعتماد الخاصة بها على أجهزة جدار الحماية المباشرة لتجنب الوصول غير المصرح به.
يوصى أيضًا بتقييد إدارة شبكة WAN والوصول عن بُعد حيثما أمكن ذلك، وإلغاء أي مفاتيح API خارجية تلامس جدار الحماية أو أنظمة الإدارة، ومراقبة عمليات تسجيل الدخول بحثًا عن علامات النشاط المشبوه، وفرض المصادقة متعددة العوامل (MFA) لجميع حسابات المشرفين والحسابات البعيدة.
ويأتي الكشف وسط زيادة في نشاط برامج الفدية تستهدف أجهزة جدار الحماية SonicWall للوصول الأولي، حيث تستفيد الهجمات من العيوب الأمنية المعروفة (CVE-2024-40766) لاختراق الشبكات المستهدفة لنشر برنامج طلب الفدية Akira.
قالت Darktrace، في تقرير نُشر هذا الأسبوع، إنها اكتشفت اختراقًا يستهدف عميلًا أمريكيًا لم يذكر اسمه في أواخر أغسطس 2025، والذي تضمن مسح الشبكة والاستطلاع والحركة الجانبية وتصعيد الامتيازات باستخدام تقنيات مثل UnPAC التجزئة وتسرب البيانات.
“تم التعرف لاحقًا على أحد الأجهزة المخترقة على أنه خادم شبكة خاصة افتراضية (VPN) من SonicWall، مما يشير إلى أن الحادث كان جزءًا من حملة Akira Ransomware الأوسع التي تستهدف تقنية SonicWall”. قال.
“تؤكد هذه الحملة التي شنتها الجهات الفاعلة في برامج الفدية Akira على الأهمية الحاسمة للحفاظ على ممارسات التصحيح المحدثة. وتستمر الجهات الفاعلة في مجال التهديد في استغلال الثغرات الأمنية التي تم الكشف عنها مسبقًا، وليس فقط الأيام الصفرية، مما يسلط الضوء على الحاجة إلى اليقظة المستمرة حتى بعد إصدار التصحيحات.”
