Компанія SonicWall офіційно спростувала припущення щодо використання невідомої уразливості нульового дня в недавніх атаках вимагального програмного забезпечення Akira. Детальний аналіз 40 інцидентів безпеки показав, що кіберзлочинці експлуатували раніше виявлену та усунену вразливість у системах захисту компанії.
Справжня причина компрометації міжмережевих екранів SonicWall
Внутрішнє розслідування SonicWall встановило, що оператори Akira використовували уразливість CVE-2024-40766, яка була виявлена та усунена ще в серпні 2024 року. Ця критична брешка впливає на систему управління доступом SSL VPN в операційній системі SonicOS, дозволяючи зловмисникам отримувати несанкціонований доступ до захищених корпоративних мереж.
Представники SonicWall підкреслюють: “Недавня активність навколо SSL VPN не була пов’язана з уразливістю нульового дня. Існує очевидна кореляція з проблемою CVE-2024-40766, яка була публічно задокументована в бюлетені SNWLID-2024-0015”.
Механізм експлуатації критичної уразливості
Уразливість CVE-2024-40766 надає кіберзлочинцям можливість перехоплювати активні користувацькі сесії та отримувати VPN-доступ до корпоративних інфраструктур без знання облікових даних. Після публічного розкриття інформації про цю брешку у 2024 році, вона стала активно використовуватися різними угрупованнями вимагачів, включаючи Akira та Fog.
Попередні висновки експертів з безпеки
15 липня 2025 року аналітики Arctic Wolf зафіксували хвилю атак з використанням вимагача Akira на міжмережеві екрани SonicWall 7-го покоління. Спочатку фахівці припустили використання невідомої zero-day уразливості, що призвело до рекомендацій про тимчасове відключення SSL VPN сервісів.
Дослідники з компанії Huntress підтвердили ці спостереження, опублікувавши детальний звіт з індикаторами компрометації та технічними деталями атакуючої кампанії.
Помилки міграції як основна причина успішних атак
Розслідування SonicWall показало, що більшість успішних атак відбулася через неправильний процес міграції з міжмережевих екранів 6-го покоління на пристрої 7-го покоління. Критична помилка полягала в перенесенні паролів локальних користувачів без їх подальшого скидання.
Експерти SonicWall пояснюють: “Багато інцидентів пов’язані з міграцією, коли паролі локальних користувачів переносилися і не скидалися. Скидання паролів було ключовою вимогою безпеки, зазначеною в початковому бюлетені”.
Рекомендації щодо усунення уразливості
Для захисту від подальших атак SonicWall рекомендує негайно виконати наступні дії: оновлення прошивки до версії 7.3.0 або пізнішої, яка включає посилену багатофакторну автентифікацію та захист від брутфорс-атак, а також примусове скидання всіх паролів локальних користувачів, особливо для облікових записів SSL VPN доступу.
Критика з боку IT-спільноти
Користувачі Reddit висловлюють скептицизм щодо офіційних заяв SonicWall. Деякі системні адміністратори повідомляють про компрометацію акаунтів, які були створені вже після міграції на пристрої 7-го покоління, що суперечить офіційній версії виробника.
Цей інцидент підкреслює критичну важливість своєчасного оновлення систем безпеки та суворого дотримання рекомендацій виробників при міграції обладнання. Організаціям слід регулярно проводити аудит своїх систем захисту та негайно усувати відомі уразливості для запобігання успішним атакам вимагального програмного забезпечення.
