Компания SonicWall подтвердила, что недавняя волна кибератак на её межсетевые экраны не связана с новой уязвимостью «нулевого дня». Причиной инцидентов стала эксплуатация ранее известной и исправленной уязвимости, успех которой был обеспечен несоблюдением рекомендаций по сбросу паролей после миграции систем. Атаки направлены на межсетевые экраны Gen 7 и более новые модели с активированной функцией SSL VPN.
В ходе расследования компания выявила «значительную корреляцию» между текущей активностью злоумышленников и угрозами, связанными с уязвимостью CVE-2024-40766. В настоящее время SonicWall анализирует менее 40 инцидентов, связанных с этой проблемой, и пришла к выводу, что главной причиной успешных атак стал человеческий фактор.
Основной причиной компрометации систем стало повторное использование паролей. Многие инциденты связаны с миграцией со старых межсетевых экранов Gen 6 на устройства нового поколения Gen 7. Администраторы пренебрегли ключевой рекомендацией SonicWall о необходимости обязательного сброса паролей локальных пользователей после переноса конфигурации.
Уязвимость, эксплуатируемая злоумышленниками, имеет идентификатор CVE-2024-40766 и критический рейтинг опасности с оценкой 9.3 по шкале CVSS. Информация о ней была впервые раскрыта самой компанией SonicWall в августе 2024 года.
Данная уязвимость классифицируется как «ненадлежащий контроль доступа» в интерфейсе управления операционной системы SonicWall SonicOS. Согласно официальному бюллетеню безопасности, она позволяет злоумышленникам получить несанкционированный доступ к ресурсам защищаемой сети.
Помимо неавторизованного доступа, эксплуатация CVE-2024-40766 при определённых условиях может привести к отказу в обслуживании — полному сбою в работе межсетевого экрана, что делает сеть уязвимой для других атак.
Внешние исследователи безопасности подтверждают всплеск атак на устройства SonicWall SSL VPN. Наблюдаемая активность злоумышленников напрямую связана с попытками развертывания программы-вымогателя Akira в скомпрометированных сетях.
Для защиты устройств SonicWall выпустила ряд обязательных рекомендаций. В первую очередь необходимо сбросить пароли всех локальных учётных записей, имеющих доступ через SSL VPN. Эта мера особенно критична для систем, которые были перенесены с устройств Gen 6 на Gen 7.
Компания настоятельно советует обновить прошивку до версии SonicOS 7.3.0. Отмечается, что операционная система SonicOS 7.3 включает дополнительные механизмы защиты от атак методом перебора паролей (брутфорс) и обхода многофакторной аутентификации.
Для усиления защиты рекомендуется активировать встроенные функции безопасности, такие как «Защита от ботнетов» (Botnet Protection) и «Фильтрация по Geo-IP» (Geo-IP Filtering). Эти меры позволяют блокировать трафик с известных вредоносных адресов и нежелательных географических регионов.
Необходимо внедрить строгие политики безопасности. Ключевыми мерами являются принудительное использование многофакторной аутентификации (MFA) для всех пользователей и внедрение политики сложных паролей. Также следует провести аудит учётных записей и удалить все неиспользуемые или неактивные профили.
Изображение носит иллюстративный характер
В ходе расследования компания выявила «значительную корреляцию» между текущей активностью злоумышленников и угрозами, связанными с уязвимостью CVE-2024-40766. В настоящее время SonicWall анализирует менее 40 инцидентов, связанных с этой проблемой, и пришла к выводу, что главной причиной успешных атак стал человеческий фактор.
Основной причиной компрометации систем стало повторное использование паролей. Многие инциденты связаны с миграцией со старых межсетевых экранов Gen 6 на устройства нового поколения Gen 7. Администраторы пренебрегли ключевой рекомендацией SonicWall о необходимости обязательного сброса паролей локальных пользователей после переноса конфигурации.
Уязвимость, эксплуатируемая злоумышленниками, имеет идентификатор CVE-2024-40766 и критический рейтинг опасности с оценкой 9.3 по шкале CVSS. Информация о ней была впервые раскрыта самой компанией SonicWall в августе 2024 года.
Данная уязвимость классифицируется как «ненадлежащий контроль доступа» в интерфейсе управления операционной системы SonicWall SonicOS. Согласно официальному бюллетеню безопасности, она позволяет злоумышленникам получить несанкционированный доступ к ресурсам защищаемой сети.
Помимо неавторизованного доступа, эксплуатация CVE-2024-40766 при определённых условиях может привести к отказу в обслуживании — полному сбою в работе межсетевого экрана, что делает сеть уязвимой для других атак.
Внешние исследователи безопасности подтверждают всплеск атак на устройства SonicWall SSL VPN. Наблюдаемая активность злоумышленников напрямую связана с попытками развертывания программы-вымогателя Akira в скомпрометированных сетях.
Для защиты устройств SonicWall выпустила ряд обязательных рекомендаций. В первую очередь необходимо сбросить пароли всех локальных учётных записей, имеющих доступ через SSL VPN. Эта мера особенно критична для систем, которые были перенесены с устройств Gen 6 на Gen 7.
Компания настоятельно советует обновить прошивку до версии SonicOS 7.3.0. Отмечается, что операционная система SonicOS 7.3 включает дополнительные механизмы защиты от атак методом перебора паролей (брутфорс) и обхода многофакторной аутентификации.
Для усиления защиты рекомендуется активировать встроенные функции безопасности, такие как «Защита от ботнетов» (Botnet Protection) и «Фильтрация по Geo-IP» (Geo-IP Filtering). Эти меры позволяют блокировать трафик с известных вредоносных адресов и нежелательных географических регионов.
Необходимо внедрить строгие политики безопасности. Ключевыми мерами являются принудительное использование многофакторной аутентификации (MFA) для всех пользователей и внедрение политики сложных паролей. Также следует провести аудит учётных записей и удалить все неиспользуемые или неактивные профили.
