Основы Интернет - технологий.

Компания SonicWall заявила, что операторы вымогателя Akira эксплуатировали старую уязвимость в недавних атаках на межсетевые экраны SonicWall 7-го поколения с включенным SSL VPN. Ранее предполагалось, что злоумышленники использовали уязвимость нулевого дня. После проведения внутреннего расследования и изучения 40 инцидентов, в компании пришли к выводу, что хакеры атаковали уязвимость CVE-2024-40766, связанную с возможностью получения несанкционированного доступа и исправленную еще в августе 2024 года. «Теперь мы уверены, что недавняя активность вокруг SSL VPN не была связана с уязвимостью нулевого дня, — говорится в заявлении SonicWall. — Напротив, существует очевидная корреляция с проблемой CVE-2024-40766, которая ранее была раскрыта и задокументирована в нашем публично доступном бюллетене SNWLID-2024-0015». CVE-2024-40766 представляет собой критическую уязвимость управления доступом к SSL VPN в SonicOS. Она позволяет получить несанкционированный доступ к уязвимым эндпоинтам, что позволяет злоумышленникам перехватывать сеансы или получать VPN-доступ в защищенных средах. В прошлом году, после раскрытия информации об этой уязвимости, она активно эксплуатировалась хакерам, включая операторов вымогательского ПО (Akira и Fog), которые использовали ее для компрометации корпоративных сетей. Напомним, что на прошлой неделе специалисты из компании Arctic Wolf предупредили, что с 15 июля 2025 года они фиксируют атаки с применением вымогателя Akira, и предположили, что преступники могут использовать в этой кампании 0-day уязвимость в межсетевых экранах SonicWall 7-го поколения. Вскоре эти выводы подтвердили специалисты компании Huntress, которые опубликовали собственный отчет, содержащий индикаторы компрометации, собранные в ходе изучения этой кампании. Эксперты рекомендовали администраторам временно отключить службы SonicWall SSL VPN из-за высокой вероятности того, что в атаках используется связанная с ними уязвимость. Как теперь заявляют в SonicWall, на самом деле от атак Akira пострадали пользователи, которые не следовали рекомендациям производителя для защиты от CVE-2024-40766 при переходе с брандмауэров 6-го поколения на брандмауэры 7-го поколения. «Многие инциденты связаны с миграцией с межсетевых экранов Gen 6 на Gen 7, когда пароли локальных пользователей переносились во время миграции и не сбрасывались, — объясняют специалисты. — Сброс паролей являлся важным шагом, о котором говорилось в исходном бюллетене безопасности». Теперь в компании рекомендуют обновить прошивку до версии 7.3.0 или более поздней, в которой усилена МФА (многофакторная аутентификация) и защита от брутфорса, а также сбросить все пароли локальных пользователей, особенно те, которые используются для SSL VPN. Следует отметить, что пользователи Reddit считают, что заявления производителя могут быть не совсем точны и явно не совпадают с их собственным опытом. Так, некоторые люди пишут, что взлом был связан с аккаунтами, которых вообще не существовало до миграции на брандмауэры 7-го поколения. А другие утверждают, что представители SonicWall отказались анализировать предоставленные им логи.