Кибербезопасность оказалась под новой угрозой: исследователи из Cyber Fusion Center (CFC) зафиксировали активную эксплуатацию ранее неизвестной уязвимости в устройствах SonicWall с поддержкой SSL-VPN. Целевые атаки, приписываемые группировке вымогателей Akira, позволяют злоумышленникам полностью обходить системы аутентификации, включая многофакторную (MFA), и проникать даже в полностью обновленные сети. Инциденты уже затронули организации в Северной Америке и Европе, подчеркивая серьезность и срочность ситуации.
Описание
По данным CFC, полученным в ходе расследования нескольких инцидентов в конце июля 2025 года, аффилиаты Akira используют вероятную zero-day уязвимость в VPN-шлюзах и межсетевых экранах SonicWall. Уникальность и опасность этой уязвимости заключается в ее способности предоставлять злоумышленникам первоначальный доступ к корпоративной сети без необходимости аутентификации, делая бесполезными как сложные пароли, так и MFA. Это обеспечивает атакующим "плацдарм" внутри периметра безопасности через внешне доступный VPN-сервис.
Основной мишенью стали устройства седьмого поколения SonicWall (Gen 7), конкретно модели TZ и NSa серий, на которых активирована служба SSL-VPN. Эксперты компании Huntress подтвердили наличие уязвимости в прошивках версии 7.2.0-7015 и более ранних. Также в наблюдаемых атаках фигурировали устройства серии SonicWall Secure Mobile Access (SMA), предоставляющие SSL-VPN функционал. Пока нет подтверждений, что затронуты SMA 100-серии или устройства Gen 6, однако CFC рекомендует проявлять осторожность всем пользователям SonicWall с включенным SSL-VPN. Главный фактор риска - размещение интерфейса SSL-VPN в открытом доступе в интернете.
Механика атаки: от VPN к тотальному шифрованию
После успешного компрометирования самого устройства SonicWall, атака развивается по отработанному группой Akira сценарию:
- Привилегированное закрепление: Используя скомпрометированный SonicWall, злоумышленники находят и захватывают привилегированные учетные записи, часто связанные с интеграцией устройства в инфраструктуру (например, доменные сервисные аккаунты LDAP). Специалисты CFC отмечают случаи использования учетных записей с именами вроде "sonicwall" или "LDAPAdmin", которые предоставляли атакующим права уровня Domain Admin.
- Установка контроля и обеспечение стойкости: Для гарантии постоянного доступа, даже если исходная уязвимость будет закрыта, группа развертывает скрытые каналы управления. Это включает установку туннелей Cloudflared, бэкдоров на базе OpenSSH и легальных инструментов удаленного управления (RMM), таких как AnyDesk и ScreenConnect. Создаются новые пользовательские учетные записи в системе.
- Перемещение и сбор данных: Обладая высокими привилегиями, злоумышленники активно перемещаются по сети, используя WMI, PowerShell Remoting и другие "родные" (living-off-the-land) техники. Происходит детальное картирование сети, активов и поиск данных, сопровождаемый сбросом и расшифровкой учетных данных.
- Обход защиты: Перед финальным ударом атакующие целенаправленно отключают системы безопасности. Зафиксировано использование команд "Set-MpPreference" для нейтрализации Windows Defender и утилиты "netsh.exe" для отключения брандмауэра или создания разрешающих правил.
- Экфильтрация и шифрование: В ряде случаев перед запуском вымогателя группа Akira предварительно готовит данные к вывозу. Наблюдалось сжатие конфиденциальных файлов с помощью WinRAR (через командную строку) и использование FTP-клиентов, таких как FileZilla ("fzsftp.exe"), для экспорта данных. Финальный этап - развертывание вредоносного ПО Akira для шифрования систем, с особым вниманием к серверам резервного копирования и инфраструктуре восстановления для максимизации ущерба.
Рекомендации и статус исправления
На данный момент официальный патч от SonicWall отсутствует. Компания пока не раскрыла полных технических деталей уязвимости, и идентификатор CVE не назначен. Это классифицирует ситуацию как критическую zero-day угрозу.
CFC настоятельно рекомендует организациям предпринять следующие немедленные действия:
- Отключить службу SSL-VPN на всех уязвимых устройствах SonicWall (Gen 7 TZ/NSa, SMA), если это функционально возможно для бизнеса. Это единственный надежный способ предотвратить эксплуатацию на текущий момент.
- Если полное отключение VPN невозможно, строго ограничить входящий доступ к SSL-VPN интерфейсу, разрешив его только с доверенных IP-адресов или диапазонов (например, ISP-диапазонов сотрудников или партнеров).
- Внимательно отслеживать официальные каналы SonicWall (Security Advisory) на предмет выпуска обновлений прошивки или руководств по устранению рисков. Как только патч станет доступен, установить его немедленно.
- Убедиться в наличии и работоспособности автономных (offline) и неизменяемых (immutable) резервных копий критически важных данных.
Для обнаружения и расследования потенциальных инцидентов CFC советует
- Включить детальное логирование (VPN, системные, аутентификационные журналы) на устройствах SonicWall и настроить пересылку всех логов в централизованную SIEM-систему для последующего анализа и проактивного поиска угроз (threat hunting).
- Использовать решения класса Endpoint Detection and Response (EDR) на рабочих станциях и серверах для выявления активности злоумышленников на этапе после первоначального доступа.
Эксперты подчеркивают, что отключение уязвимого сервиса SSL-VPN остается ключевой временной мерой до появления официального исправления от вендора. Организациям, использующим затронутые модели SonicWall, следует отнестись к данной угрозе с максимальной серьезностью и оперативно выполнить рекомендации по смягчению рисков.
Индикаторы компрометации
SHA256
- ffed1a30d2cf18fe9278ab9feedcc65e7ff3e07de4208c253c854c3b3e0f4ed0
