Компания SonicWall экстренно призвала своих клиентов отключить функцию SSL VPN в межсетевых экранах седьмого поколения после обнаружения активной эксплуатации критической уязвимости. Кибerpреступники используют неизвестную ранее брешь в безопасности для развертывания вымогательского ПО Akira, что вызвало серьезную обеспокоенность в сообществе специалистов по информационной безопасности.
Обнаружение угрозы исследователями Arctic Wolf
Специалисты компании Arctic Wolf первыми зафиксировали подозрительную активность, начавшуюся 15 июля 2025 года. Команда исследователей выявила несколько целенаправленных атак с использованием ransomware Akira, которые демонстрировали необычные признаки компрометации систем защиты.
Аналитики отметили высокую вероятность использования 0-day уязвимости, хотя не исключили и традиционные методы взлома, включая брутфорс-атаки, словарные атаки и credential stuffing. Такая осторожность в выводах свидетельствует о сложности определения точного вектора атаки на начальном этапе расследования.
Подтверждение от Huntress и детали атак
Команда Huntress не только подтвердила выводы коллег, но и предоставила дополнительные критически важные детали. Злоумышленники демонстрируют способность полностью обходить многофакторную аутентификацию, что указывает на серьезность обнаруженной уязвимости.
Особенно тревожным фактором является скорость развития атак. По данным Huntress, преступники переходят к атакам на контроллеры доменов в течение нескольких часов после первоначального взлома. Такая оперативность свидетельствует о высокой степени автоматизации процесса и глубоком понимании целевой инфраструктуры.
Рекомендации по немедленному реагированию
Исследователи единодушно рекомендуют администраторам принять следующие экстренные меры:
• Полное отключение SSL VPN службы на устройствах SonicWall 7-го поколения
• Альтернативно — строгое ограничение доступа через whitelist IP-адресов
• Усиленный мониторинг сетевого трафика и журналов событий
Официальный ответ SonicWall
Компания SonicWall оперативно отреагировала на сообщения исследователей, выпустив официальный бюллетень безопасности. В документе подтверждается значительный рост количества инцидентов за последние 72 часа, связанных с межсетевыми экранами седьмого поколения с активированной функцией SSL VPN.
Производитель подчеркнул, что ведется тщательное расследование для определения природы уязвимости — является ли она ранее известной или представляет собой новую угрозу нулевого дня. Такой подход демонстрирует серьезность отношения компании к возникшей проблеме.
Анализ угрозы и последствий
Данный инцидент высвечивает критическую проблему современной кибербезопасности — уязвимость VPN-решений как ключевых точек входа для злоумышленников. Способность обходить многофакторную аутентификацию делает эту угрозу особенно опасной для корпоративных сетей.
Вымогатель Akira, используемый в данных атаках, известен своей агрессивной тактикой и высокой эффективностью. Сочетание этого инструмента с возможностью быстрого проникновения в корпоративные сети создает критический уровень риска для пострадавших организаций.
Текущая ситуация подчеркивает важность проактивного подхода к кибербезопасности и необходимость немедленного реагирования на предупреждения производителей. Организациям следует не только выполнить рекомендованные временные меры защиты, но и разработать планы альтернативного удаленного доступа на случай длительного отключения VPN-служб. Регулярное тестирование систем резервного копирования и планов восстановления после инцидентов становится критически важным в условиях растущих угроз ransomware-атак.
