Các chuyên gia cảnh báo về vụ xâm phạm VPN SonicWall lan rộng hơn 100 tài khoản

[Starlink]

Công ty an ninh mạng Huntress hôm thứ sáu đã cảnh báo về "sự xâm phạm rộng rãi" các thiết bị VPN SSL của SonicWall để truy cập vào nhiều môi trường khách hàng.

"Các tác nhân đe dọa đang nhanh chóng xác thực vào nhiều tài khoản trên các thiết bị bị xâm nhập", báo cáo cho biết. "Tốc độ và quy mô của các cuộc tấn công này cho thấy kẻ tấn công dường như kiểm soát thông tin đăng nhập hợp lệ thay vì tấn công dò mật khẩu."

Một phần đáng kể hoạt động này được cho là đã bắt đầu vào ngày 4 tháng 10 năm 2025, với hơn 100 tài khoản VPN SSL SonicWall trên 16 tài khoản khách hàng bị ảnh hưởng. Trong các trường hợp được Huntress điều tra, xác thực trên các thiết bị SonicWall bắt nguồn từ địa chỉ IP 202.155.8[.]73.

Công ty lưu ý rằng trong một số trường hợp, kẻ tấn công không tham gia vào các hành động gây hấn tiếp theo trên mạng và đã ngắt kết nối sau một thời gian ngắn. Tuy nhiên, trong những trường hợp khác, kẻ tấn công đã bị phát hiện đang thực hiện hoạt động quét mạng và cố gắng truy cập vào nhiều tài khoản Windows cục bộ.

Thông tin này được tiết lộ ngay sau khi SonicWall thừa nhận một sự cố bảo mật đã dẫn đến việc các tệp sao lưu cấu hình tường lửa được lưu trữ trong tài khoản MySonicWall bị lộ trái phép. Theo bản cập nhật mới nhất, vụ vi phạm này ảnh hưởng đến tất cả khách hàng đã sử dụng dịch vụ sao lưu đám mây của SonicWall.

"Các tệp cấu hình tường lửa lưu trữ thông tin nhạy cảm mà kẻ tấn công có thể lợi dụng để khai thác và truy cập vào mạng của tổ chức", Arctic Wolf cho biết. "Những tệp này có thể cung cấp cho kẻ tấn công thông tin quan trọng như cài đặt người dùng, nhóm và tên miền, cài đặt DNS và nhật ký, cũng như chứng chỉ."

Tuy nhiên, Huntress lưu ý rằng ở giai đoạn này không có bằng chứng nào cho thấy mối liên hệ giữa vụ vi phạm này với sự gia tăng đột biến các vụ xâm phạm gần đây.

Do thông tin đăng nhập nhạy cảm được lưu trữ trong cấu hình tường lửa, các tổ chức sử dụng dịch vụ sao lưu cấu hình đám mây MySonicWall được khuyên nên đặt lại thông tin đăng nhập trên thiết bị tường lửa trực tiếp để tránh truy cập trái phép.

Bạn cũng nên hạn chế quản lý WAN và truy cập từ xa khi có thể, thu hồi mọi khóa API bên ngoài liên quan đến tường lửa hoặc hệ thống quản lý, theo dõi thông tin đăng nhập để phát hiện dấu hiệu hoạt động đáng ngờ và thực thi xác thực đa yếu tố (MFA) cho tất cả tài khoản quản trị viên và tài khoản từ xa.

Việc tiết lộ này diễn ra trong bối cảnh hoạt động ransomware nhắm vào các thiết bị tường lửa SonicWall để truy cập ban đầu đang gia tăng, với các cuộc tấn công lợi dụng các lỗ hổng bảo mật đã biết ( CVE-2024-40766 ) để xâm nhập vào mạng mục tiêu nhằm triển khai ransomware Akira.

Trong báo cáo được công bố tuần này, Darktrace cho biết họ đã phát hiện một vụ xâm nhập nhắm vào một khách hàng giấu tên ở Hoa Kỳ vào cuối tháng 8 năm 2025, liên quan đến việc quét mạng, do thám, di chuyển ngang, leo thang đặc quyền bằng các kỹ thuật như UnPAC băm và đánh cắp dữ liệu.

"Một trong những thiết bị bị xâm phạm sau đó được xác định là máy chủ mạng riêng ảo (VPN) SonicWall, cho thấy sự cố này là một phần của chiến dịch ransomware Akira rộng lớn hơn nhắm vào công nghệ SonicWall", báo cáo cho biết.

"Chiến dịch này của nhóm tin tặc tống tiền Akira nhấn mạnh tầm quan trọng của việc duy trì các biện pháp vá lỗi cập nhật. Các tin tặc tiếp tục khai thác các lỗ hổng đã được tiết lộ trước đó, không chỉ các lỗ hổng zero-day, cho thấy sự cần thiết phải liên tục cảnh giác ngay cả sau khi các bản vá được phát hành."