به گزارش کارگروه امنیت سایبربان؛ به گفته کارشناسان، ممکن است گروههای باجافزاری از یک آسیبپذیری ناشناخته در دستگاههای سونیکوال (SonicWall) برای حمله به دهها سازمان سوءاستفاده کنند.
چندین شرکت واکنش به حوادث، هشدارهایی در مورد استفاده عوامل تهدید از باجافزار آکیرا (Akira) برای هدف قرار دادن دستگاههای فایروال سونیکوال به منظور دسترسی اولیه منتشر کردند. ابتدا کارشناسان «Arctic Wolf» این حوادث را فاش کردند.
سونیکوال به درخواستهای مکرر برای اظهار نظر در مورد این نقضها پاسخ نداد، اما یک پست وبلاگ منتشر و تأیید کرد که از این کمپین آگاه است.
شرکت اعلام کرد که Arctic Wolf، گوگل و هانترس (Huntress) در ۷۲ ساعت گذشته هشدار دادهاند که افزایش حوادث سایبری مربوط به فایروالهای نسل ۷ سونیکوال رخ داده که از پروتکل لایه سوکتهای امن (SSL) استفاده میکنند.
سونیکوال خاطرنشان کرد:
«ما به طور فعال در حال بررسی این حوادث هستیم تا مشخص کنیم که آیا آنها به یک آسیبپذیری قبلاً افشا شده مرتبط هستند یا اینکه یک آسیبپذیری جدید ممکن است مسئول باشد. با محققان همکاری، مشتریان را بهروزرسانی و در صورت یافتن آسیبپذیری جدید، سیستم عامل بهروزرسانی شده را منتشر میکنیم.»
این شرکت توصیه چندین شرکت امنیتی را تکرار کرد و به مشتریان گفت که سرویسهای ویپیان سونیکوال را که از پروتکل لایه سوکتهای امن استفاده میکنند، غیرفعال کنند.
حداقل ۲۰ حادثه
شرکت Arctic Wolf اعلام کرد که در مدت زمان کوتاهی شاهد چندین نفوذ بوده و همه آنها شامل دسترسی از طریق ویپیانهای لایه سوکتهای امن سونیکوال بوده است.
شرکت افزود درحالیکه دسترسی به اعتبارنامه از طریق حمله جستجوی فراگیر، حملات دیکشنری و پر کردن اعتبارنامه هنوز به طور قطعی در همه موارد رد نشده، شواهد موجود به وجود یک آسیبپذیری روز صفر اشاره دارد. هیچ یک از شرکتهای واکنش به حوادث مشخص نکردهاند که این اشکال چه میتواند باشد.
شرکت Arctic Wolf با اشاره به فرآیند تنظیم مجدد منظم ورود به سیستم یا سایر دسترسیها، گفت که در برخی موارد، دستگاههای سونیکوال که کاملاً پچ شدهاند، پس از چرخش اعتبارنامه تحت تأثیر قرار گرفتهاند.
کارشناسان عنوان کردند که فعالیت باجافزاری مربوط به ویپیانهای سونیکوال حدود ۱۵ ژوئیه امسال آغاز شد.
سخنگوی Arctic Wolf در پاسخ به این سؤال که آیا آسیبپذیریهای شناخته شده اخیر سونیکوال مسئول این حملات هستند یا خیر، گفت:
«محققان دستگاههای کاملاً پچ شدهای را دیدهاند که در این کمپین تحت تأثیر قرار گرفتهاند که ما را به این باور میرساند که این موضوع به یک آسیبپذیری روز صفر جدید مرتبط است. با توجه به احتمال بالای وجود چنین باگی، سازمانها باید غیرفعال کردن سرویس ویپیان لایه سوکتهای امن سونیکوال را تا زمان ارائه و استقرار پچ امنیتی در نظر بگیرند.»
ارزیابی Arctic Wolf توسط پاسخدهندگان به حوادث در هانترس تأیید شد که چندین حادثه مربوط به سرویس ویپیان لایه سوکتهای امن سونیکوال را تأیید کردند.
یکی از مقامات هانترس گفت که از ۲۵ ژوئیه سال جاری حدود ۲۰ حمله مشاهده کردهاند و بسیاری از این حوادث شامل سوءاستفاده از حسابهای ممتاز، جابهجایی جانبی، سرقت اطلاعات کاربری و استقرار باجافزار است.
این مقام اظهار داشت:
«این اتفاق با سرعتی رخ میدهد که نشان دهنده سوءاستفاده، احتمالاً یک سوءاستفاده روز صفر در سونیکوال است. عوامل تهدید کنترل حسابهایی را که حتی احراز هویت 2عاملی را مستقر کردهاند، به دست گرفتهاند. حوادثی که هانترس بررسی کرده است، شامل باجافزار آکیرا نیز بوده است.
هانترس یک توصیهنامه تهدید طولانی منتشر کرد و در مورد آسیبپذیری روز صفر احتمالی در ویپیانهای سونیکوال، که برای تسهیل حملات باجافزار استفاده میشود، هشدار داد. آنها نیز مانند Arctic Wolf از مشتریان خواستند که سرویس ویپیان را فوراً غیرفعال کنند.
این شرکت توضیح داد:
«در طول چند روز گذشته، مرکز عملیات امنیتی (SOC) هانترس در حال پاسخگویی به موجی از حوادث با شدت بالا ناشی از دسترسی ایمن موبایل (SMA) سونیکوال و دستگاههای فایروال بوده است. این موضوع منحصر به فرد نیست؛ ما این را در کنار همتایان خود در Arctic Wolf، سوفوس (Sophos) و سایر شرکتهای امنیتی میبینیم. سرعت و موفقیت این حملات، حتی در برابر محیطهایی که احراز هویت 2عاملی فعال است، قویاً نشان میدهد که یک آسیبپذیری روز صفر در حال سوءاستفاده در فضای سایبری است.»
کارشناسان معتقدند که دستگاههای سونیکوال اهداف مکرر هکرها هستند، زیرا انواع دستگاههایی که این شرکت تولید میکند به عنوان دروازهای برای دسترسی از راه دور ایمن عمل میکنند.
چندی پیش، گوگل در مورد کمپینی که دستگاههای سری 100 دسترسی ایمن موبایل سونیکوال هشدار داد که عمرشان به پایان رسیده است را از طریق یک اشکال ردیابی شده با شناسه «CVE-2024-38475» هدف قرار میدهد.
