Sonicwall zei dat het actief rapporten onderzoekt om te bepalen of er een nieuwe zero-day kwetsbaarheid is na meldingen van een piek in Akira ransomware-acteurs eind juli 2025.
“In de afgelopen 72 uur is er een opmerkelijke toename geweest van zowel intern als extern gerapporteerde cyberincidenten waarbij Gen 7 Sonicwall Firewalls betrokken is waar SSLVPN is ingeschakeld,” zei de leverancier van het netwerkbeveiliging in een verklaring.
“We onderzoeken deze incidenten actief om te bepalen of ze verbonden zijn met een eerder bekendheid of dat een nieuwe kwetsbaarheid verantwoordelijk kan zijn.”
Terwijl Sonicwall dieper graaft, worden organisaties die Gen 7 Sonicwall -firewalls gebruiken, geadviseerd om de onderstaande stappen te volgen tot nader order –
- Schakel SSL VPN -services uit waar praktisch
- Beperk SSL VPN -connectiviteit tot vertrouwde IP -adressen
- Activeer services zoals Botnet-bescherming en geo-IP-filtering
- Multi-factor authenticatie afdwingen
- Verwijder inactieve of ongebruikte lokale gebruikersaccounts op de firewall, met name die met SSL VPN -toegang
- Moedig regelmatige wachtwoordupdates aan bij alle gebruikersaccounts
De ontwikkeling komt kort nadat Arctic Wolf onthulde dat het een toename van de Akira -ransomware -activiteit had geïdentificeerd gericht op Sonicwall SSL VPN -apparaten voor initiële toegang sinds eind vorige maand.
Huntress, in een vervolganalyse die maandag werd gepubliceerd, zei ook dat het heeft opgemerkt dat dreigingsacteurs rechtstreeks een paar uur na de eerste inbreuk rechtstreeks naar domeincontrollers draaiden.
Aanvalketens beginnen met de schending van het Sonicwall-apparaat, gevolgd door de aanvallers die een “versleten” post-exploitatiepad nemen om opsomming, detectieontduiking, laterale beweging en diefstal van de referentie uit te voeren.
De incidenten omvatten ook de slechte actoren die methodisch beschrijven van Microsoft Defender Antivirus en het verwijderen van volume -schaduwkopieën voordat Akira -ransomware wordt geïmplementeerd.
Huntress zei dat het ongeveer 20 verschillende aanvallen ontdekte gebonden aan de nieuwste aanvalsgolf vanaf 25 juli 2025, met variaties die werden waargenomen in het Tradecraft dat ze werden gebruikt, inclusief in het gebruik van hulpmiddelen voor verkenning en doorzettingsvermogen, zoals Anydesk, Screenconnect of SSH.
Er zijn aanwijzingen dat de activiteit kan worden beperkt tot TZ en NSA-Series Sonicwall Firewalls met SSL VPN ingeschakeld, en dat de vermoedelijke fout bestaat in firmwareversies 7.2.0-7015 en eerder.
“De snelheid en het succes van deze aanvallen, zelfs tegen omgevingen met MFA, suggereren sterk dat een nul-day kwetsbaarheid wordt uitgebuit in het wild,” zei het cybersecuritybedrijf. “Dit is een kritische, voortdurende dreiging.”
