Cybersecuritybedrijf Huntress waarschuwde vrijdag voor “wijdverbreide compromittering” van SonicWall SSL VPN-apparaten om toegang te krijgen tot meerdere klantomgevingen.
“Bedreigingsactoren authenticeren zich snel op meerdere accounts op gecompromitteerde apparaten”, aldus het rapport. “De snelheid en omvang van deze aanvallen impliceren dat de aanvallers de controle lijken te hebben over geldige inloggegevens in plaats van over brute kracht.”
Een aanzienlijk deel van de activiteit zou zijn begonnen op 4 oktober 2025, waarbij meer dan 100 SonicWall SSL VPN-accounts van 16 klantaccounts zijn getroffen. In de door Huntress onderzochte gevallen waren authenticaties op de SonicWall-apparaten afkomstig van het IP-adres 202.155.8(.)73.
Het bedrijf merkte op dat de dreigingsactoren in sommige gevallen geen verdere vijandige acties in het netwerk ondernamen en na korte tijd de verbinding verbraken. In andere gevallen zijn de aanvallers echter betrapt op het uitvoeren van netwerkscans en pogingen om toegang te krijgen tot talloze lokale Windows-accounts.
De onthulling komt kort nadat SonicWall heeft erkend dat een beveiligingsincident heeft geresulteerd in het ongeoorloofd blootleggen van back-upbestanden van de firewallconfiguratie die zijn opgeslagen in MySonicWall-accounts. Volgens de laatste update treft de inbreuk alle klanten die gebruik hebben gemaakt van de cloudback-upservice van SonicWall.
“Firewallconfiguratiebestanden slaan gevoelige informatie op die door bedreigingsactoren kan worden gebruikt om misbruik te maken van en toegang te krijgen tot het netwerk van een organisatie”, aldus Arctic Wolf. “Deze bestanden kunnen bedreigingsactoren voorzien van cruciale informatie, zoals gebruikers-, groeps- en domeininstellingen, DNS- en loginstellingen en certificaten.”
Huntress merkte echter op dat er in dit stadium geen bewijs is om de inbreuk te koppelen aan de recente piek in compromissen.
Gezien het feit dat gevoelige inloggegevens worden opgeslagen binnen firewallconfiguraties, wordt organisaties die de MySonicWall cloudconfiguratieback-upservice gebruiken geadviseerd om hun inloggegevens opnieuw in te stellen op live firewall-apparaten om ongeautoriseerde toegang te voorkomen.
Het wordt ook aanbevolen om WAN-beheer en externe toegang waar mogelijk te beperken, externe API-sleutels in te trekken die in aanraking komen met de firewall of beheersystemen, logins te controleren op tekenen van verdachte activiteit en multi-factor authenticatie (MFA) af te dwingen voor alle beheerders- en externe accounts.
De onthulling komt te midden van een toename van ransomware-activiteit gericht op SonicWall-firewallapparaten voor initiële toegang, waarbij de aanvallen gebruik maken van bekende beveiligingsfouten (CVE-2024-40766) om doelnetwerken te doorbreken voor het inzetten van Akira-ransomware.
Darktrace zei in een deze week gepubliceerd rapport dat het eind augustus 2025 een inbraak had gedetecteerd die gericht was op een niet bij naam genoemde Amerikaanse klant, waarbij netwerkscanning, verkenning, laterale verplaatsing, escalatie van privileges met behulp van technieken als UnPAC de hash en data-exfiltratie betrokken waren.
“Een van de besmette apparaten werd later geïdentificeerd als een SonicWall Virtual Private Network (VPN)-server, wat erop wijst dat het incident deel uitmaakte van de bredere Akira-ransomwarecampagne gericht op SonicWall-technologie”, aldus het rapport.
“Deze campagne van ransomware-actoren van Akira onderstreept het cruciale belang van het handhaven van up-to-date patchpraktijken. Bedreigingsactoren blijven eerder onthulde kwetsbaarheden misbruiken, niet alleen zero-days, wat de noodzaak van voortdurende waakzaamheid benadrukt, zelfs nadat patches zijn uitgebracht.”
