Кибербезопасная компания Huntress зафиксировала массовую компрометацию сетевых устройств SonicWall. Начиная с 4 октября 2025 года, злоумышленники активно получают доступ к сетям клиентов через SonicWall SSL VPN, используя действительные учетные данные. Было скомпрометировано более 100 учетных записей SSL VPN, что затронуло 16 различных клиентов. Скорость и масштаб атак указывают на то, что злоумышленники не применяют метод подбора паролей (brute-force), а обладают готовой базой логинов и паролей.
Аутентификация злоумышленников в скомпрометированных системах происходила с IP-адреса 202.155.8[.]73. Поведение атакующих после получения доступа различалось. В некоторых случаях они отключались сразу после входа, не предпринимая дальнейших действий. В других инцидентах злоумышленники проводили сканирование сети и предпринимали попытки получить доступ к локальным учетным записям Windows, что свидетельствует о подготовке к более глубокому проникновению в инфраструктуру.
Параллельно с этими атаками компания SonicWall официально подтвердила инцидент безопасности, связанный с ее облачным сервисом. Произошла несанкционированная утечка файлов резервных копий конфигураций брандмауэров, которые хранились в учетных записях MySonicWall. Данная проблема затрагивает всех клиентов, когда-либо использовавших облачный сервис резервного копирования от SonicWall.
Компания Arctic Wolf пояснила критическую опасность этой утечки. Файлы конфигурации содержат исчерпывающую конфиденциальную информацию, включая настройки пользователей, групп и доменов, параметры DNS и системных журналов, а также сертификаты безопасности. Обладая такими данными, злоумышленники могут детально изучить архитектуру защиты и найти слабые места для дальнейших атак, включая компрометацию VPN-доступа.
Несмотря на очевидную связь между событиями, специалисты Huntress заявляют, что на данном этапе у них нет прямых доказательств того, что всплеск компрометаций SSL VPN напрямую вызван утечкой конфигурационных файлов из облака MySonicWall. Расследование обоих инцидентов продолжается.
Ситуацию усугубляет активность вымогательской группировки Akira, которая также целенаправленно атакует устройства SonicWall для первоначального проникновения в корпоративные сети. Группа эксплуатирует известную уязвимость, идентифицированную как CVE-2024-40766, для развертывания своего вредоносного программного обеспечения.
Согласно отчету компании Darktrace, опубликованному на этой неделе, один из таких инцидентов был зафиксирован в конце августа 2025 года. Жертвой стал неназванный клиент из США. Точкой входа послужил скомпрометированный сервер виртуальной частной сети (VPN) SonicWall. После проникновения злоумышленники выполнили стандартный набор действий: сканирование сети, разведка, горизонтальное перемещение и повышение привилегий с использованием техник, таких как "UnPAC the hash", с последующей эксфильтрацией данных.
Эти события подчеркивают, что злоумышленники продолжают успешно использовать не только уязвимости нулевого дня, но и уже известные и исправленные недостатки безопасности. Это указывает на критическую важность своевременного обновления программного обеспечения и установки патчей безопасности.
Всем организациям, использующим сервис облачного резервного копирования MySonicWall, настоятельно рекомендуется немедленно сбросить учетные данные на своих активных брандмауэрах. Это касается как административных аккаунтов, так и учетных записей пользователей.
Необходимо максимально ограничить удаленный доступ к устройствам и управление ими через глобальную сеть (WAN management). Если такая функция не является критически важной для бизнес-процессов, ее следует отключить, чтобы сократить поверхность атаки.
Также следует отозвать все внешние API-ключи, связанные с брандмауэром или системами управления. Рекомендуется проводить постоянный и активный мониторинг журналов аутентификации для выявления любой подозрительной активности или нетипичных попыток входа.
Для всех административных и пользовательских учетных записей с удаленным доступом необходимо в обязательном порядке внедрить и использовать многофакторную аутентификацию (MFA). Этот шаг значительно усложняет несанкционированный доступ, даже если учетные данные были скомпрометированы.
Изображение носит иллюстративный характер
Аутентификация злоумышленников в скомпрометированных системах происходила с IP-адреса 202.155.8[.]73. Поведение атакующих после получения доступа различалось. В некоторых случаях они отключались сразу после входа, не предпринимая дальнейших действий. В других инцидентах злоумышленники проводили сканирование сети и предпринимали попытки получить доступ к локальным учетным записям Windows, что свидетельствует о подготовке к более глубокому проникновению в инфраструктуру.
Параллельно с этими атаками компания SonicWall официально подтвердила инцидент безопасности, связанный с ее облачным сервисом. Произошла несанкционированная утечка файлов резервных копий конфигураций брандмауэров, которые хранились в учетных записях MySonicWall. Данная проблема затрагивает всех клиентов, когда-либо использовавших облачный сервис резервного копирования от SonicWall.
Компания Arctic Wolf пояснила критическую опасность этой утечки. Файлы конфигурации содержат исчерпывающую конфиденциальную информацию, включая настройки пользователей, групп и доменов, параметры DNS и системных журналов, а также сертификаты безопасности. Обладая такими данными, злоумышленники могут детально изучить архитектуру защиты и найти слабые места для дальнейших атак, включая компрометацию VPN-доступа.
Несмотря на очевидную связь между событиями, специалисты Huntress заявляют, что на данном этапе у них нет прямых доказательств того, что всплеск компрометаций SSL VPN напрямую вызван утечкой конфигурационных файлов из облака MySonicWall. Расследование обоих инцидентов продолжается.
Ситуацию усугубляет активность вымогательской группировки Akira, которая также целенаправленно атакует устройства SonicWall для первоначального проникновения в корпоративные сети. Группа эксплуатирует известную уязвимость, идентифицированную как CVE-2024-40766, для развертывания своего вредоносного программного обеспечения.
Согласно отчету компании Darktrace, опубликованному на этой неделе, один из таких инцидентов был зафиксирован в конце августа 2025 года. Жертвой стал неназванный клиент из США. Точкой входа послужил скомпрометированный сервер виртуальной частной сети (VPN) SonicWall. После проникновения злоумышленники выполнили стандартный набор действий: сканирование сети, разведка, горизонтальное перемещение и повышение привилегий с использованием техник, таких как "UnPAC the hash", с последующей эксфильтрацией данных.
Эти события подчеркивают, что злоумышленники продолжают успешно использовать не только уязвимости нулевого дня, но и уже известные и исправленные недостатки безопасности. Это указывает на критическую важность своевременного обновления программного обеспечения и установки патчей безопасности.
Всем организациям, использующим сервис облачного резервного копирования MySonicWall, настоятельно рекомендуется немедленно сбросить учетные данные на своих активных брандмауэрах. Это касается как административных аккаунтов, так и учетных записей пользователей.
Необходимо максимально ограничить удаленный доступ к устройствам и управление ими через глобальную сеть (WAN management). Если такая функция не является критически важной для бизнес-процессов, ее следует отключить, чтобы сократить поверхность атаки.
Также следует отозвать все внешние API-ключи, связанные с брандмауэром или системами управления. Рекомендуется проводить постоянный и активный мониторинг журналов аутентификации для выявления любой подозрительной активности или нетипичных попыток входа.
Для всех административных и пользовательских учетных записей с удаленным доступом необходимо в обязательном порядке внедрить и использовать многофакторную аутентификацию (MFA). Этот шаг значительно усложняет несанкционированный доступ, даже если учетные данные были скомпрометированы.
