Компания SonicWall официально опровергла предположения о использовании неизвестной уязвимости в недавних атаках вымогательского ПО Akira. После детального анализа 40 инцидентов безопасности, эксперты установили, что киберпреступники эксплуатировали давно известную и исправленную брешь в системе защиты.
Истинная причина компрометации межсетевых экранов SonicWall
Внутреннее расследование SonicWall выявило, что операторы Akira использовали уязвимость CVE-2024-40766, которая была обнаружена и устранена еще в августе 2024 года. Данная критическая брешь затрагивает систему управления доступом SSL VPN в операционной системе SonicOS, позволяя злоумышленникам получать несанкционированный доступ к защищенным корпоративным сетям.
Представители SonicWall подчеркивают: «Недавняя активность вокруг SSL VPN не была связана с уязвимостью нулевого дня. Существует очевидная корреляция с проблемой CVE-2024-40766, которая была публично задокументирована в бюллетене SNWLID-2024-0015».
Механизм эксплуатации уязвимости CVE-2024-40766
Критическая уязвимость позволяет киберпреступникам перехватывать активные пользовательские сессии и получать VPN-доступ к корпоративным инфраструктурам без необходимости знания учетных данных. После публичного раскрытия информации об этой бреши в 2024 году, она стала активно использоваться различными группировками вымогателей, включая Akira и Fog.
Предварительные выводы экспертов безопасности
15 июля 2025 года аналитики Arctic Wolf зафиксировали волну атак с использованием вымогателя Akira на межсетевые экраны SonicWall 7-го поколения. Первоначально специалисты предположили использование неизвестной zero-day уязвимости, что привело к рекомендациям о временном отключении SSL VPN сервисов.
Исследователи из компании Huntress подтвердили эти наблюдения, опубликовав детальный отчет с индикаторами компрометации и технические детали атакующей кампании.
Ошибки миграции как основная причина успешных атак
Расследование SonicWall показало, что большинство успешных атак произошло из-за неправильного процесса миграции с межсетевых экранов 6-го поколения на устройства 7-го поколения. Критическая ошибка заключалась в переносе паролей локальных пользователей без их последующего сброса.
Эксперты SonicWall объясняют: «Многие инциденты связаны с миграцией, когда пароли локальных пользователей переносились и не сбрасывались. Сброс паролей являлся ключевым требованием безопасности, указанным в исходном бюллетене».
Рекомендации по устранению уязвимости
Для защиты от дальнейших атак SonicWall рекомендует немедленно выполнить следующие действия:
Обновление прошивки до версии 7.3.0 или более поздней, которая включает усиленную многофакторную аутентификацию и защиту от брутфорс-атак. Принудительный сброс всех паролей локальных пользователей, особенно для учетных записей SSL VPN доступа.
Критика со стороны IT-сообщества
Пользователи Reddit выражают скептицизм относительно официальных заявлений SonicWall. Некоторые системные администраторы сообщают о компрометации аккаунтов, которые были созданы уже после миграции на устройства 7-го поколения, что противоречит официальной версии производителя.
Данный инцидент подчеркивает критическую важность своевременного обновления систем безопасности и строгого следования рекомендациям производителей при миграции оборудования. Организациям следует регулярно аудировать свои системы защиты и незамедлительно устранять известные уязвимости для предотвращения успешных атак вымогательского ПО.
