• گیلان، رشت
  • شنبه تا پنجشنبه: 8:00 صبح تا 21:00 عصر
  • info@RootNet.ir
ما را دنبال کنید:
Linkedin-in Instagram
021-74391690

حملات SonicWall

حملات SonicWall
23 بازدید

هشدار: حمله گسترده به SonicWall و نفوذ به تمام نسخه‌های پشتیبان فایروال‌ها

بررسی فنی، تحلیل تهدید و راهکارهای امنیتی پیشنهادی Rootnet

در تاریخ ۱۲ اکتبر ۲۰۲۵، شرکت امنیت سایبری Huntress هشدار مهمی درباره‌ی حملات گسترده به SonicWall SSL VPN منتشر کرد.
بر اساس گزارش این شرکت، مهاجمان با استفاده از اعتبارنامه‌های معتبر (Valid Credentials) و نه حملات Brute-force، به حساب‌های کاربری در ده‌ها سازمان نفوذ کرده‌اند.

🔍 جزئیات فنی حمله

از تاریخ ۴ اکتبر، بیش از ۱۰۰ حساب SonicWall VPN در ۱۶ سازمان مختلف مورد نفوذ قرار گرفتند.
مهاجمان از آدرس‌های IP نظیر 202.155.8[.]73 برای ورود استفاده کردند و در برخی موارد پس از ورود سریعاً از سیستم خارج شدند (نشانه‌ای از عملیات شناسایی اولیه).

اما در دیگر موارد، مهاجمان وارد فاز دوم حمله شدند که شامل:

  • اسکن شبکه‌های داخلی،

  • شناسایی حساب‌های ویندوز،

  • حرکت جانبی (Lateral Movement)،

  • و تلاش برای دستیابی به دسترسی ادمین بود.

⚠️ علت اصلی: آسیب‌پذیری CVE-2024-40766 و رمزهای قدیمی

بخش عمده حملات با آسیب‌پذیری بحرانی CVE-2024-40766 مرتبط دانسته شده است.
این نقص، نوعی ضعف در کنترل دسترسی (Improper Access Control) بوده و امتیاز CVSS 9.3 دارد.

مشکل زمانی ایجاد می‌شود که حساب‌های کاربری (خصوصاً مدیران و VPN کاربران) از نسل ۶ SonicWall به نسل ۷ مهاجرت داده می‌شوند بدون آنکه گذرواژه‌ها بازنشانی شوند.
مهاجمان از اعتماد باقی‌مانده به حساب‌های قدیمی سوءاستفاده کرده‌اند.

⚙️ سوءاستفاده از تنظیمات اشتباه و MFA

تحقیقات Huntress نشان داد مهاجمان از چند اشتباه رایج در تنظیمات SonicWall نیز بهره‌برداری کرده‌اند:

۱. گروه LDAP پیش‌فرض

در برخی تنظیمات، کاربران LDAP به‌طور خودکار به گروهی با مجوزهای VPN یا ادمین اضافه می‌شوند.
این تنظیم اشتباه باعث دسترسی غیرمجاز می‌شود.

۲. پیکربندی اشتباه پورتال Virtual Office

مهاجمان با تغییر تنظیمات MFA در این پورتال، توانسته‌اند احراز هویت چندمرحله‌ای را غیرفعال کنند.

۳. سرقت کلید MFA (OTP Seed Theft)

برخی حساب‌های دارای MFA نیز نفوذ شده‌اند، که احتمال سرقت کلید یا بازتنظیم MFA را تقویت می‌کند.

☁️ افشای گسترده پشتیبان‌های ابری SonicWall Cloud Backup

SonicWall تأیید کرده است که همه کاربران خدمات MySonicWall Cloud Backup تحت تأثیر این نفوذ قرار گرفته‌اند.
این افشا شامل فایل‌های پشتیبان فایروال بوده که اطلاعات حساسی مانند:

  • پیکربندی شبکه،

  • سیاست‌های دسترسی،

  • تنظیمات VPN و SNMP،

  • و حتی اعتبارنامه‌های مدیریتی را در بر دارد.

هرچند این فایل‌ها رمزگذاری شده‌اند، اما مهاجمان می‌توانند از ساختار آن‌ها برای درک توپولوژی شبکه و حملات هدفمند استفاده کنند.

🧩 ارتباط با باج‌افزار Akira

گزارش‌ها حاکی از ارتباط این حملات با گروه باج‌افزار Akira است.
این گروه از تابستان ۲۰۲۵ حملات خود را بر پایه‌ی نفوذ از طریق SonicWall SSL VPN گسترش داده است.

الگوهای رفتاری نشان می‌دهد پس از نفوذ به VPN، مهاجمان:

  • در عرض چند دقیقه رمزگذاری داده‌ها را آغاز می‌کنند،

  • دسترسی ادمین دامنه را به‌دست می‌آورند،

  • و داده‌ها را برای اخاذی دوباره منتقل می‌کنند.

🛡️ توصیه‌های امنیتی Rootnet برای سازمان‌ها

با توجه به شدت حملات، کارشناسان Rootnet مجموعه‌ای از اقدامات فوری و استراتژیک را توصیه می‌کنند:

🔹 اقدامات فوری (Immediate Actions)

  • غیرفعال کردن دسترسی SSL VPN تا زمان ایمن‌سازی کامل.

  • محدودسازی دسترسی از طریق IP Whitelist فقط به آدرس‌های مطمئن.

  • به‌روزرسانی SonicOS به نسخه 7.3.0 یا بالاتر.

  • تغییر تمامی رمزهای عبور محلی و VPN.

  • بازتنظیم MFA / TOTP برای تمام کاربران.

  • حذف حساب‌های غیرضروری یا غیرفعال.

🔹 اقدامات بلندمدت (Strategic Hardening)

  • حذف انتساب پیش‌فرض LDAP Group.

  • تقویت امنیت پورتال Virtual Office و محدودسازی دسترسی.

  • فعال‌سازی Geo-IP Filtering و Botnet Protection.

  • پایش مداوم لاگ‌ها و هشدارها (SIEM / SOC Monitoring).

  • اجرای تمرین‌های Tabletop Incident Response.

  • حرکت به سمت مدل امنیتی Zero Trust.

🔧 خدمات Rootnet در زمینه ایمن‌سازی فایروال و فارنزیک دیجیتال

تیم امنیت سایبری Rootnet با تجربه عملی در مدیریت حملات فایروال، تحلیل ترافیک و فارنزیک دیجیتال، خدمات زیر را برای سازمان‌ها ارائه می‌دهد:

  • بررسی و به‌روزرسانی کامل SonicWall و FortiGate

  • تحلیل فارنزیکی پس از حادثه (Post-Incident Forensics)

  • بازیابی شواهد و بررسی منشأ نفوذ

  • پیاده‌سازی MFA امن و مانیتورینگ مداوم VPN

  • مشاوره و طراحی سیاست‌های امنیتی مبتنی بر NIST و ISO/IEC 27035

در صورت بروز هرگونه نشانه از نفوذ یا عملکرد غیرعادی در فایروال‌های خود، با کارشناسان Rootnet تماس بگیرید تا در سریع‌ترین زمان، بررسی و واکنش حرفه‌ای انجام شود.

🧩 جمع‌بندی

حملات اخیر به SonicWall یک زنگ خطر جدی برای تمام سازمان‌هایی است که به SSL VPN متکی هستند.
ضعف در مدیریت اعتبارنامه‌ها و پشتیبان‌گیری ابری، می‌تواند به تهدیدی تمام‌عیار منجر شود.
با اجرای به‌موقع به‌روزرسانی‌ها، بازتنظیم MFA و بهره‌گیری از خدمات تخصصی Rootnet، می‌توان جلوی بسیاری از این حملات را گرفت.

Post Views: 25

مرتبط پست

Mean Time to

128 بازدید

Apple Vision Pro:

114 بازدید

هشدار ساتیا نادلا:

113 بازدید

دیدگاه ها بسته هستند