Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Массовая разведка SonicWall: сканирование SSL VPN и CVE

3 мин
Недавняя активность, зафиксированная GreyNoise, выявила масштабную разведывательную кампанию, направленную на инфраструктуру SonicWall SonicOS. В период с 22 по 25 февраля 2026 года исследователи зарегистрировали 84 142 сеанса сканирования, исходящих от 4 305 уникальных IP-адресов и реализованных через 20 автономных систем, действовавших скоординированно для перечисления конечных точек VPN. Анализ показывает стратегическое использование коммерческих прокси и вращающихся выходных IP-адресов для маскировки источников сканирования. Высокая концентрация запросов к одной API-конечной точке, отвечающей за проверку конфигурации SSL VPN, свидетельствует о целенаправленной подготовке для последующих атак, ориентированных на компрометацию учетных данных. Кластеры вторичного сканирования в Нидерландах, одновременно направленные на Cisco ASA и SonicWall, демонстрируют намерение злоумышленников расширить удар по разным вендорам VPN, а не ограничиваться одной платформой. SSL VPN от SonicWall признан
Оглавление

Недавняя активность, зафиксированная GreyNoise, выявила масштабную разведывательную кампанию, направленную на инфраструктуру SonicWall SonicOS. В период с 22 по 25 февраля 2026 года исследователи зарегистрировали 84 142 сеанса сканирования, исходящих от 4 305 уникальных IP-адресов и реализованных через 20 автономных систем, действовавших скоординированно для перечисления конечных точек VPN.

Ключевые наблюдения

  • Общее число сеансов сканирования: 84 142 (22–25 февраля 2026).
  • Уникальные IP-адреса: 4 305.
  • Автономные системы: 20, демонстрирующих координацию.
  • 92% трафика были направлены на одну конечную точку API, предназначенную для проверки состояния конфигурации SSL VPN.
  • Коммерческие прокси-сервисы обеспечили 32% объема трафика с использованием 4 102 сменяющихся выходных IP-адресов в течение двух основных пакетов кампании.
  • Наличие кластеров вторичного сканирования из Нидерландов, нацеленных на устройства SonicWall и Cisco ASA, указывает на более широкую инициативу против инфраструктур VPN.

Тактика и инфраструктура атакующих

Анализ показывает стратегическое использование коммерческих прокси и вращающихся выходных IP-адресов для маскировки источников сканирования. Высокая концентрация запросов к одной API-конечной точке, отвечающей за проверку конфигурации SSL VPN, свидетельствует о целенаправленной подготовке для последующих атак, ориентированных на компрометацию учетных данных.

Кластеры вторичного сканирования в Нидерландах, одновременно направленные на Cisco ASA и SonicWall, демонстрируют намерение злоумышленников расширить удар по разным вендорам VPN, а не ограничиваться одной платформой.

Связь с программами-вымогателями и исторические прецеденты

SSL VPN от SonicWall признан удобным вектором первоначального доступа для групп программ-вымогателей, таких как Akira и Fog. Типичная тактика этих групп — использование скомпрометированных учетных данных VPN для быстрого проникновения и последующего распространения внутри сети, что в ряде случаев приводит к полному шифрованию инфраструктуры менее чем за четыре часа.

Исторические данные указывают, что Akira ассоциируют с компрометацией более 250 организаций, что подчёркивает критическую необходимость для клиентов SonicWall пересмотреть и усилить свои меры безопасности.

Уязвимости и предупреждения

Особую озабоченность вызывают пять CVE SonicWall, релевантных наблюдаемой активности разведки; часть из них занесена в список известных эксплуатируемых уязвимостей (CISA). Среди приоритетных — CVE-2024-53704, на которую в отчёте указывается отдельно как на первоочередную для исправления.

Microsoft призывает к немедленным действиям по блокировке IP-адресов, исправлению выявленных уязвимостей (в частности, CVE-2024-53704) и применению многофакторной аутентификации для усиления защиты от атак с использованием учетных данных.

Практические рекомендации

  • Приоритетно исправить известные уязвимости, включая CVE-2024-53704, и применить все рекомендованные патчи от вендора.
  • Заблокировать подозрительные и подтверждённо злонамеренные IP-адреса и диапазоны, отмеченные в расследовании.
  • Внедрить и обеспечить обязательное использование многофакторной аутентификации (MFA) для доступа через SSL VPN.
  • Ограничить доступ к интерфейсам управления и SSL VPN с помощью контроля доступа по IP, VPN-джамп-хостов или других механик сегментации.
  • Усилить мониторинг и проведение охоты за угрозами (threat hunting) на предмет нетипичных попыток аутентификации и сканирования API-конечных точек.
  • Провести аудит и смену учетных данных, особенно для учетных записей с правами администратора или удалённого доступа.

Вывод

Зафиксированная GreyNoise разведывательная кампания представляет собой четко спланированную подготовку к возможной эксплуатации уязвимостей и компрометации учетных данных SSL VPN. Поскольку 92% трафика фокусируется на одной API-конечной точке, организациям следует срочно уделить приоритетное внимание защите интерфейсов управления, ограничению доступа к SSL VPN и применению надежных мер против подстановки украденных учетных данных. Принятые превентивные меры сегодня могут предотвратить быстрое и масштабное проникновение, характерное для групп вроде Akira и Fog.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Массовая разведка SonicWall: сканирование SSL VPN и CVE".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются