Saugumo tyrėjai iš kompanijos ReliaQuest 2026 m. vasario–kovą fiksavo kelis įsilaužimus į organizacijų tinklus per SonicWall Gen6 SSL-VPN įrenginius. Pažeidėjai panaudojo žinomą pažeidžiamumą CVE-2024-12802, kad apeitų daugiatorį autentifikaciją (MFA) ir patektų į vidinius serverius.
SonicWall įspėjo, kad vien naujausios programinės aparatinės įrangos įdiegimas neužbaigia apsaugos. Gen6 įrenginiuose administratoriai rankiniu būdu turi atlikti papildomą LDAP serverio perkonfigūravimą. Nepabaigus šio žingsnio, pažeidžiamumas lieka aktyvus.
ReliaQuest nustatė, kad pirmasis prisijungimas užimdavo nuo 30 iki 60 minučių. Per tokį trumpą veiksmo laikas išpuoliai aprėpdavo paiešką tinkle, kredencialų pakartotino naudojimo tikrinimą ir tiesioginį išėjimą. Vienoje aplinkoje pavyko pasiekti domenui priklausantį failų serverį per pusvalandį, o vėliau panaudoti bendrą vietinio administratoriaus slaptažodį.
// reklamaČia gali būti jūsų reklamaSusisiekite →Tyrėjai aptiko, kad užpuolikai bandė įdiegti Cobalt Strike modulį — populiarų įrankį, naudojamą tolesniems tinklo judėjimams po įsiskverbimo. Jie taip pat mėgino įkrauti pažeidžiamą tvarkyklę (BYOVD metodika), tačiau galutinio taško apsaugos sistema (EDR) tai sustabdė.
Remiantis atsitiktiniu atsijungimu ir kitomis paskyromis prisijungimu po kelių dienų, specialistai mano, kad grėsmės kūrėjas veikia kaip pradinės prieigos tarpininkas, parduodantis ją vagysčių grupėms, įskaitant, galbūt, Akira išpirkos programišių gaują.
Ekspertai rekomenduoja nedelsiant atnaujinti įrenginių programinę įrangą ir griežtai laikytis gamintojo pateiktų papildomų apsaugos nurodymų.
Šaltiniai
- Bleeping Computer — Hackers bypass SonicWall VPN MFA due to incomplete patchingBleepingcomputer · 2026
