Công ty an ninh mạng Huntress vào thứ Sáu đã cảnh báo về "sự xâm phạm trên diện rộng" các thiết bị SonicWall SSL VPN để truy cập vào nhiều môi trường khách hàng.
Huntress cho biết: "Các tác nhân đe dọa đang xác thực vào nhiều tài khoản một cách nhanh chóng trên các thiết bị bị xâm phạm. Tốc độ và quy mô của các cuộc tấn công này cho thấy những kẻ tấn công dường như kiểm soát thông tin đăng nhập hợp lệ thay vì tấn công brute-force."
Một phần đáng kể các hoạt động này được cho là đã bắt đầu vào ngày 4 tháng 10 năm 2025, với hơn 100 tài khoản SonicWall SSL VPN trên 16 tài khoản khách hàng đã bị ảnh hưởng. Trong các trường hợp được Huntress điều tra, quá trình xác thực trên các thiết bị SonicWall có nguồn gốc từ địa chỉ IP 202.155.8[.]73.
Công ty lưu ý rằng trong một số trường hợp, các tác nhân đe dọa không thực hiện thêm hành động gây hại nào trong mạng và đã ngắt kết nối sau một thời gian ngắn. Tuy nhiên, trong các trường hợp khác, những kẻ tấn công đã được phát hiện đang thực hiện hoạt động network scanning và cố gắng truy cập nhiều tài khoản Windows cục bộ.
Tiết lộ này được đưa ra ngay sau khi SonicWall thừa nhận rằng một sự cố bảo mật đã dẫn đến việc lộ các tệp backup cấu hình firewall trái phép được lưu trữ trong các tài khoản MySonicWall. Theo cập nhật mới nhất, sự cố này ảnh hưởng đến tất cả khách hàng đã sử dụng dịch vụ backup đám mây của SonicWall.
"Các tệp cấu hình firewall lưu trữ thông tin nhạy cảm có thể bị các tác nhân đe dọa lợi dụng để exploit và giành quyền truy cập vào mạng của một tổ chức," Arctic Wolf cho biết. "Các tệp này có thể cung cấp cho các tác nhân đe dọa những thông tin quan trọng như cài đặt người dùng, nhóm và domain, cài đặt DNS và log, cũng như certificate."
Tuy nhiên, Huntress lưu ý rằng ở giai đoạn này, chưa có bằng chứng nào liên kết sự cố rò rỉ dữ liệu này với sự gia tăng đột biến các vụ xâm phạm gần đây.
Khuyến nghị bảo mật
Xem xét việc các thông tin đăng nhập nhạy cảm được lưu trữ trong cấu hình firewall, các tổ chức sử dụng dịch vụ backup cấu hình đám mây MySonicWall được khuyến nghị nên đặt lại thông tin đăng nhập trên các thiết bị firewall đang hoạt động để tránh truy cập trái phép.
- Hạn chế quản lý WAN và truy cập từ xa nếu có thể.
- Thu hồi mọi API keys bên ngoài có liên quan đến firewall hoặc hệ thống quản lý.
- Giám sát các lần đăng nhập để tìm dấu hiệu hoạt động đáng ngờ.
- Thực thi multi-factor authentication (MFA) cho tất cả các tài khoản admin và tài khoản truy cập từ xa.
Chiến dịch ransomware Akira nhắm mục tiêu SonicWall
Tiết lộ này được đưa ra trong bối cảnh gia tăng hoạt động ransomware nhắm mục tiêu vào các thiết bị firewall của SonicWall để truy cập ban đầu, với các cuộc tấn công tận dụng các lỗ hổng bảo mật đã biết (CVE-2024-40766) để xâm nhập mạng mục tiêu nhằm triển khai ransomware Akira.
Darktrace, trong một báo cáo được công bố tuần này, cho biết họ đã phát hiện một vụ xâm nhập nhắm vào một khách hàng không xác định ở Hoa Kỳ vào cuối tháng 8 năm 2025, liên quan đến network scanning, reconnaissance, lateral movement, privilege escalation sử dụng các kỹ thuật như UnPAC the hash, và data exfiltration.
"Một trong các thiết bị bị xâm phạm sau đó được xác định là một máy chủ SonicWall virtual private network (VPN), cho thấy sự cố này là một phần của chiến dịch ransomware Akira rộng lớn hơn nhắm mục tiêu vào công nghệ SonicWall," Darktrace cho biết.
"Chiến dịch này của các tác nhân ransomware Akira nhấn mạnh tầm quan trọng của việc duy trì các hoạt động patching được cập nhật. Các tác nhân đe dọa tiếp tục exploit các lỗ hổng đã được công bố trước đây, không chỉ các lỗ hổng zero-days, điều này làm nổi bật sự cần thiết của việc cảnh giác liên tục ngay cả sau khi các bản patch đã được phát hành."
