Une vulnérabilité critique dans les VPN SonicWall est actuellement exploitée dans des attaques de type zero-day, ce qui a conduit le fournisseur de sécurité réseau à émettre un avis urgent. Les attaquants exploitent cette faille pour contourner l’authentification à plusieurs facteurs et déployer des rançongiciels, tels qu’Akira, peu après avoir obtenu un accès initial. L’exploit cible principalement les pare-feu de septième génération de SonicWall équipés du firmware version 7.2.0-7015 ou antérieure. Après la violation, les attaquants s’engagent dans des activités telles que le vol d’identifiants, le mouvement latéral et la mise en place de commandes et de contrôles, en utilisant des outils comme PowerShell Remoting et WMI. Ces activités ont été liées au déploiement de rançongiciels après la désactivation des mesures de sécurité. La vulnérabilité représente des risques importants pour les organisations, pouvant entraîner des perturbations majeures et des violations de données. Pour atténuer la menace, il est recommandé de désactiver les services VPN SSL sur les appareils affectés, de restreindre l’accès aux IP de confiance, d’auditer les comptes de service et de surveiller les indicateurs de compromission.
Une vulnérabilité Zero-Day de SonicWall VPN est-elle exploitée activement ?
