จากการสืบสวนของ SonicWall เกี่ยวกับเหตุการณ์การละเมิดความปลอดภัยเมื่อเดือนกันยายน ซึ่งทำให้ไฟล์ configuration backup ของ Firewall ของลูกค้ารั่วไหล โดยยืนยันว่า แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอยู่เบื้องหลังการโจมตีครั้งนี้

บริษัทด้านความปลอดภัยเครือข่ายระบุว่า ทีมผู้เชี่ยวชาญด้านการรับมือเหตุการณ์จาก Mandiant ยืนยันว่า กิจกรรมที่เป็นอันตรายดังกล่าวไม่ส่งผลกระทบใด ๆ ต่อผลิตภัณฑ์, firmware, ระบบ, เครื่องมือ, source code หรือเครือข่ายของลูกค้า SonicWall

SonicWall ระบุว่า "ขณะนี้การสืบสวนของ Mandiant ได้เสร็จสิ้นแล้ว ผลการตรวจสอบยืนยันว่าปฏิบัติการซึ่งดำเนินการโดยผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ นั้น จำกัดอยู่เพียงการเข้าถึงไฟล์สำรองข้อมูลบนคลาวด์โดยไม่ได้รับอนุญาต จากสภาพแวดล้อมคลาวด์โดยเฉพาะ ผ่านการเรียกใช้ API"

“เหตุการณ์ดังกล่าวไม่ส่งผลกระทบต่อผลิตภัณฑ์ หรือ firmware ของ SonicWall ไม่มีระบบ หรือเครื่องมืออื่น ๆ ของ SonicWall รวมถึง source code หรือเครือข่ายของลูกค้าที่ได้รับผลกระทบ หรือถูกบุกรุก”

เมื่อวันที่ 17 กันยายน บริษัทสัญชาติอเมริกันรายนี้ได้เปิดเผยเหตุการณ์ที่ทำให้ไฟล์ configuration backup ของ Firewall ที่จัดเก็บไว้ในบัญชี MySonicWall บางบัญชีรั่วไหล

ผู้โจมตีสามารถดึงข้อมูลสำคัญ เช่น access credentials และ tokens ซึ่งอาจทำให้พวกเขาโจมตี Firewall ของลูกค้าได้ง่ายขึ้นอย่างมาก

บริษัทได้แนะนำให้ลูกค้าทำการรีเซ็ตข้อมูล credentials บัญชี MySonicWall, รหัสการเข้าถึงชั่วคราว, รหัสผ่านสำหรับเซิร์ฟเวอร์ LDAP, RADIUS หรือ TACACS+, รหัสผ่านสำหรับ WAN interfaces แบบ L2TP/PPPoE/PPTP และข้อมูล shared secrets ใน IPSec แบบ site-to-site และ GroupVPN policies ทันที

ในการอัปเดตเมื่อวันที่ 9 ตุลาคม SonicWall ระบุว่า การละเมิดความปลอดภัยครั้งนี้ส่งผลกระทบต่อลูกค้าทุกคนที่ใช้บริการสำรองข้อมูลบนคลาวด์ของบริษัทเพื่อจัดเก็บไฟล์ configuration ของ Firewall

นอกจากนี้ บริษัทยังรับรองว่า ปฏิบัติการของกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐฯ ที่สืบสวนนี้ ไม่มีความเชื่อมโยงกับการโจมตีจากกลุ่มแรนซัมแวร์ Akira ที่มุ่งเป้าไปที่บัญชี SonicWall VPN ในช่วงปลายเดือนกันยายน

ล่าสุด เมื่อวันที่ 13 ตุลาคม Huntress รายงานว่าพบกิจกรรมที่เป็นอันตรายเพิ่มขึ้น โดยมุ่งเป้าไปที่บัญชี SonicWall SSLVPN และสามารถเจาะระบบได้สำเร็จกว่าร้อยบัญชีโดยใช้ข้อมูล credentials ที่ถูกต้อง

Huntress ไม่พบหลักฐานใดที่เชื่อมโยงการโจมตีเหล่านี้กับการรั่วไหลของไฟล์ configuration ในเดือนกันยายน

ที่มา : bleepingcomputer

นักวิจัยออกมาเตือนว่า ผู้ไม่หวังดีได้โจมตีบัญชี SonicWall SSL-VPN ไปแล้วมากกว่า 100 บัญชีในแคมเปญการโจมตีขนาดใหญ่ที่ใช้ข้อมูล credentials ที่ถูกขโมยมา

แม้ว่าในบางกรณีผู้โจมตีจะตัดการเชื่อมต่อออกไปหลังจากเข้ามาได้ไม่นาน แต่ในกรณีอื่น ๆ พวกเขาได้ทำการสแกนเครือข่าย และพยายามเข้าถึงบัญชี Windows บนเครื่องภายในเครือข่ายนั้นต่อ (more…)

SonicWall ได้แจ้งเตือนให้ผู้ดูแลระบบทำการปิดใช้งาน SSLVPN หลังจากพบกลุ่ม Ransomware มุ่งเป้าโจมตีช่องโหว่ Zero-Day ในไฟร์วอลล์ SonicWall Gen 7 เพื่อเข้าถึงระบบในช่วงที่ผ่านมา (more…)

ตามข้อมูลจากบริษัทด้านความปลอดภัยทางไซเบอร์ Arctic Wolf ระบุว่า อุปกรณ์ Firewall ของ SonicWall กำลังถูกโจมตีมากขึ้นอย่างต่อเนื่องด้วย Akira ransomware นับตั้งแต่ช่วงปลายเดือนกรกฎาคมที่ผ่านมา โดยคาดว่าอาจเป็นการโจมตีจากช่องโหว่ด้านความปลอดภัยที่ยังไม่เคยถูกเปิดเผยมาก่อน (more…)

Sophos และ SonicWall แจ้งเตือนผู้ใช้งานเกี่ยวกับช่องโหว่ด้านความปลอดภัยระดับ Critical ในอุปกรณ์ Sophos Firewall และ Secure Mobile Access (SMA) 100 Series ที่อาจถูกใช้โจมตีโดยผู้ไม่หวังดีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

(more…)

 

SonicWall ออกคำเตือนให้ลูกค้ารีบอัปเดตแพตช์โดยทันที เพื่อแก้ไขช่องโหว่ 3 รายการที่พบในอุปกรณ์ Secure Mobile Access (SMA) โดยหนึ่งในช่องโหว่ดังกล่าวมีรายงานว่ากำลังถูกใช้ในการโจมตีแล้ว ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-32819, CVE-2025-32820 และ CVE-2025-32821 ซึ่งถูกค้นพบโดย Ryan Emmons นักวิจัยจากบริษัท Rapid7 ซึ่งระบุว่า ผู้ไม่หวังดีสามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อเข้าควบคุมอุปกรณ์จากระยะไกลด้วยสิทธิ์ระดับ root ได้ (more…)

SonicWall เปิดเผยว่าช่องโหว่ด้านความปลอดภัยที่ได้รับการแก้ไขไปแล้วสองรายการ ที่ส่งผลกระทบต่ออุปกรณ์ SMA100 Secure Mobile Access (SMA) ของบริษัท กำลังถูกนำไปใช้ในการโจมตีจริงแล้วในปัจจุบัน (more…)

เมื่อวันพุธที่ผ่านมา (16 เมษายน 2025) หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกคำเตือนให้หน่วยงานรัฐบาลกลางดำเนินการป้องกันอุปกรณ์ SonicWall Secure Mobile Access (SMA) 100 series จากการโจมตีด้วยช่องโหว่ระดับ High ซึ่งสามารถทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่นี้มีหมายเลข CVE-2021-20035 โดยส่งผลกระทบต่ออุปกรณ์รุ่น SMA 200, SMA 210, SMA 400, SMA 410 และ SMA 500v (บนแพลตฟอร์ม ESX, KVM, AWS และ Azure) ซึ่งหากสามารถโจมตีได้ความสำเร็จ อาจทำให้ผู้ไม่หวังดีจากภายนอกที่มีสิทธิ์เข้าถึงเพียงแค่ในระดับต่ำสามารถเรียกใช้รันโค้ดใด ๆ ก็ได้ ด้วยเทคนิคการโจมตีที่ไม่ซับซ้อน

SonicWall ได้อธิบายในคำแนะนำด้านความปลอดภัยที่มีการอัปเดตในสัปดาห์นี้ว่า:

“การจัดการ special elements ที่ไม่เหมาะสมใน management interface ของ SMA100 อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถแทรกคำสั่งใด ๆ ได้ในฐานะผู้ใช้งาน 'nobody' ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายบนอุปกรณ์ได้”

SonicWall ได้แก้ไขช่องโหว่นี้ตั้งแต่เดือนกันยายน 2021 หรือเกือบสี่ปีที่ผ่านมา โดยในขณะนั้นบริษัทระบุว่าช่องโหว่ดังกล่าวสามารถใช้เพียงเพื่อก่อให้เกิดการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service หรือ DoS) เท่านั้น

อย่างไรก็ตาม เมื่อวันจันทร์ที่ผ่านมา (14 เมษายน 2025) SonicWall ได้อัปเดตคำแนะนำเกี่ยวกับช่องโหว่นี้โดยระบุว่า ขณะนี้ช่องโหว่กำลังถูกใช้ในการโจมตีจริง พร้อมทั้งปรับระดับความรุนแรง CVSS จากระดับปานกลางเป็นระดับสูง และขยายขอบเขตของผลกระทบให้รวมถึง code execution

SonicWall ระบุว่า “ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง เพื่อเป็นมาตรการเชิงป้องกัน ทีม PSIRT ของ SonicWall ได้ปรับปรุงข้อมูลสรุป และปรับระดับความรุนแรง CVSS เป็น 7.2”

CISA ได้ยืนยันว่าช่องโหว่ดังกล่าวถูกใช้ในการโจมตีจริงแล้ว โดยเพิ่มช่องโหว่นี้เข้าไปในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities catalog) ซึ่งเป็นรายการช่องโหว่ที่หน่วยงานฯ ยืนยันว่ามีการใช้งานในการโจมตีทางไซเบอร์

ภายใต้คำสั่ง Binding Operational Directive (BOD) 22-01 ซึ่งออกเมื่อเดือนพฤศจิกายน 2021 หน่วยงานในสังกัดฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch – FCEB) จะต้องดำเนินการแก้ไขช่องโหว่นี้ภายในเวลาสามสัปดาห์ หรือภายในวันที่ 7 พฤษภาคม 2025

แม้ว่าคำสั่ง BOD 22-01 จะใช้บังคับกับหน่วยงานของรัฐบาลกลางสหรัฐฯ เท่านั้น แต่ CISA ก็แนะนำให้ผู้ดูแลระบบเครือข่ายทุกแห่งเร่งดำเนินการแก้ไขช่องโหว่นี้ทันที เพื่อป้องกันความพยายามในการเจาะระบบ

CISA เตือนว่า “ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางหลักในการโจมตีของผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อโครงสร้างพื้นฐานของหน่วยงานรัฐบาล”

เมื่อเดือนกุมภาพันธ์ที่ผ่านมา SonicWall ยังได้แจ้งเตือนถึงช่องโหว่ Authentication Bypass ที่กำลังถูกใช้ในการโจมตีจริงในไฟร์วอลล์รุ่น Gen 6 และ Gen 7 ซึ่งอาจทำให้แฮ็กเกอร์สามารถเข้าถึง VPN sessions ได้

ก่อนหน้านั้นหนึ่งเดือน บริษัทได้แนะนำให้ลูกค้ารีบติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ระดับ Critical ในอุปกรณ์ SMA1000 secure access gateways หลังจากมีรายงานว่าช่องโหว่นั้นถูกใช้ในเหตุการณ์โจมตีแบบ zero-day แล้ว

ที่มา : bleepingcomputer

ผู้ไม่หวังดีกำลังใช้ช่องโหว่ Authentication Bypass ที่ส่งผลกระทบต่อไฟร์วอลล์ของ SonicWall หลังจากมีการปล่อย proof-of-concept (PoC) ออกมาในเวลาไม่นาน (more…)

ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ (more…)