أكدت شركة SonicWall، المتخصصة في حلول الأمن السيبراني، أن موجة الهجمات التي طالت عدد من عملائها مؤخراً لا تعود إلى ثغرة أمنية جديدة، بل ترتبط بسوء إدارة بيانات الدخول وكلمات المرور، خاصة في ظل انتقال بعض المستخدمين إلى جيل جديد من الأجهزة دون اتخاذ الخطوات الأمنية اللازمة.
وكانت جهات أمنية متعددة قد رصدت، أواخر يوليو، ارتفاع في هجمات برنامج الفدية Akira التي استهدفت أجهزة SonicWall، حتى تلك التي حصلت على آخر التحديثات الأمنية، رغم تفعيل المصادقة متعددة العوامل (TOTP MFA). وأشارت شركة Arctic Wolf إلى أن بعض الحسابات تعرّضت للاختراق حتى بعد تدوير بيانات الدخول.
في بيان محدث، نفت SonicWall وجود أي ثغرة من نوع “يوم الصفر” (Zero-Day)، وذكرت أن النشاط المرتبط ببروتوكول SSLVPN يعود إلى ثغرة معروفة مسبقاً تحمل رقم CVE-2024-40766، وقد تم توثيقها سابقاً ضمن نشرتها الأمنية (SNWLID-2024-0015).
وأوضحت الشركة أن عدد الحوادث الخاضعة للتحقيق لا يتجاوز 40 حالة، معظمها مرتبط بترقية الأجهزة من الجيل السادس إلى الجيل السابع، حيث جرى ترحيل كلمات المرور الخاصة بالمستخدمين المحليين دون إعادة تعيينها، على الرغم من أن النشرة الأمنية الأصلية شددت على ضرورة إعادة تعيين كلمات المرور كخطوة أساسية.
توصيات أمنية جديدة لمستخدمي SonicWall
حثت SonicWall جميع العملاء الذين قاموا بترحيل الإعدادات من الجيل السادس إلى الأجهزة الأحدث، على التحديث إلى إصدار SonicOS 7.3، الذي يوفر آليات حماية متقدمة ضد هجمات التخمين العشوائي لكلمات المرور، واستهداف المصادقة متعددة العوامل.
كما شددت الشركة على ضرورة إعادة تعيين جميع كلمات المرور الخاصة بحسابات المستخدمين المحليين التي تتيح الوصول إلى SSLVPN، لا سيما تلك التي جرى ترحيلها أثناء الترقية.
وأكدت الشركة أن التوصيات السابقة لا تزال سارية، وتشمل:
- تفعيل خاصية الحماية من الشبكات الآلية الضارة (Botnet Protection) وتصفية عناوين المواقع حسب الموقع الجغرافي (Geo-IP Filtering)
- إزالة الحسابات غير النشطة أو غير المستخدمة
- فرض سياسات صارمة لكلمات المرور وتفعيل المصادقة متعددة العوامل
واختتمت SonicWall بيانها بتوجيه الشكر لمجتمع الباحثين الأمنيين، بما في ذلك Arctic Wolf، وGoogle Mandiant، وHuntress، وField Effect، على دورهم في مراقبة التهديدات وتحليلها.
