SonicWall ได้แจ้งเตือนให้ผู้ดูแลระบบทำการปิดใช้งาน SSLVPN หลังจากพบกลุ่ม Ransomware มุ่งเป้าโจมตีช่องโหว่ Zero-Day ในไฟร์วอลล์ SonicWall Gen 7 เพื่อเข้าถึงระบบในช่วงที่ผ่านมา
การแจ้งเตือนดังกล่าวเกิดขึ้นหลังจากทาง Arctic Wolf Labs รายงานการพบกลุ่ม Akira Ransomware มุ่งเป้าโจมตีด้วยช่องโหว่ Zero-Day ของ SonicWall หลายครั้ง ตั้งแต่วันที่ 15 กรกฎาคม 2025
นักวิจัยจาก Arctic Wolf Labs ยังไม่ได้เปิดเผยวิธีการเข้าถึงระบบในเบื้องต้น ซึ่งเป็นไปได้ว่าจะมาจากช่องโหว่ Zero-Day แต่การเข้าถึงผ่านการใช้ Brute Force, Dictionary Attack และ Credential Stuffing ยังไม่ถูกตัดออกไป
Arctic Wolf ยังแนะนำให้ผู้ดูแลระบบ SonicWall ปิดใช้งานบริการ SSLVPN ของ SonicWall ชั่วคราว เนื่องจากมีความเป็นไปได้สูงว่าช่องโหว่ Zero-Day ของ SonicWall จะถูกนำไปใช้ในการโจมตีเหล่านี้
Huntress บริษัทรักษาความปลอดภัยไซเบอร์ ได้ยืนยันผลการค้นพบของ Arctic Wolf เมื่อวันจันทร์ที่ผ่านมา และได้เผยแพร่รายงานที่ระบุ Indicators of Compromise (IOCs) ที่เก็บรวบรวมระหว่างการตรวจสอบแคมเปญดังกล่าว เช่นเดียวกับทาง SonicWall ที่ได้ออกคำแนะนำเพื่อป้องกันผู้ใช้งานจากการโจมตีช่องโหว่ดังกล่าว
- ปิดใช้งานบริการ SSL VPN หากทำได้
- จำกัดการเชื่อมต่อ SSL VPN กับ IP address ที่เชื่อถือได้
- เปิดใช้งานบริการรักษาความปลอดภัย เช่น Botnet Protection, Geo-IP Filtering เพื่อระบุและบล็อกกลุ่ม Hacker ซึ่งกำหนดเป้าหมายการโจมตีไปยัง SSLVPN
- บังคับใช้งาน Multi-Factor Authentication (MFA) สำหรับการเข้าถึงจากระยะไกลทั้งหมดเพื่อลดความเสี่ยงของการขโมยข้อมูล Credentials
- ลบบัญชีที่ไม่ได้ใช้งาน
โดยก่อนหน้านี้ทาง SonicWall ได้แจ้งเตือนนผู้ดูแลระบบให้ อัปเดต SMA 100 เพื่อป้องกันช่องโหว่ด้านความปลอดภัยระดับ Critical (CVE-2025-40599) ซึ่งอาจถูกนำไปใช้เพื่อเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ แม้ว่า Hacker จะต้องมีสิทธิ์ผู้ดูแลระบบ จึงจะสามารถโจมตีโดยใช้ช่องโหว่ CVE-2025-40599 ได้
แม้ปัจจุบันยังไม่มีหลักฐานการโจมตีจากช่องโหว่นี้ แต่ SonicWall ได้แนะนำให้ลูกค้าอัปเดตอุปกรณ์ SMA 100 ของตน เนื่องจากอุปกรณ์เหล่านี้กำลังตกเป็นเป้าหมายของการโจมตีที่ใช้ข้อมูล Credentials ที่ถูกขโมยมาเพื่อติดตั้ง OVERSTEP rootkit ตัวใหม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.