تواصل مجموعة Akira المرتبطة بهجمات الفدية استغلال ثغرات في أنظمة SonicWall رغم مرور أكثر من عام على إصلاح الثغرة الحرجة CVE-2024-40766 في جدران الحماية الحديثة للشركة. وأكدت التقارير أن المهاجمين تمكنوا خلال يوليو 2025 من تصعيد هجماتهم مستفيدين من ثغرات تقنية وأخطاء في الإعدادات داخل المؤسسات.
وأوضحت SonicWall أن جزءاً من هذه الهجمات يعود إلى انتقال مؤسسات عدة من الجيل السادس إلى الجيل السابع من جدران الحماية من دون إعادة ضبط كلمات مرور المستخدمين المحليين، وهو إجراء كانت الشركة قد أوصت به سابقاً.
في الوقت ذاته، أشار فريق الاستجابة للحوادث في Rapid7 إلى رصد زيادة واضحة منذ مطلع أغسطس 2025 في محاولات التسلل عبر أجهزة SonicWall. وأكد أن المهاجمين يستخدمون مزيجاً من ثلاث ثغرات رئيسية:
- الثغرة الأمنية CVE-2024-40766 التي لا تزال موجودة في بعض الأنظمة غير المحدثة.
- خطأ في إعداد مجموعة المستخدمين الافتراضية في خدمة SSLVPN، يسمح بمنح صلاحيات موسعة لأي حساب Active Directory يتم اختراقه حتى لو لم يكن له حق وصول أصلاً.
- استغلال بوابة Virtual Office Portal في أجهزة SonicWall لتهيئة المصادقة متعددة العوامل على حسابات سبق اختراقها.
وحذرت SonicWall من أن هذه العوامل تتيح للقراصنة تجاوز ضوابط التحكم في الوصول، والوصول إلى محيط الشبكة بمجرد حصولهم على بيانات اعتماد صالحة.
تحذيرات دولية وتوصيات عاجلة للحد من المخاطر
أصدر المركز الأسترالي للأمن السيبراني تحذيراً بشأن تصاعد هجمات Akira على المؤسسات المحلية عبر الثغرة CVE-2024-40766. وبحسب Rapid7، فإن أسلوب الهجوم المعتاد يشمل الحصول على الوصول الأولي عبر مكون SSLVPN، ثم تصعيد الامتيازات، والوصول إلى الملفات الحساسة وسحبها من الخوادم، يلي ذلك إيقاف أو حذف النسخ الاحتياطية، وصولاً إلى نشر برمجيات الفدية على مستوى أنظمة المحاكاة الافتراضية.
ولتقليل المخاطر، نصحت Rapid7 المؤسسات التي تستخدم SonicWall باتباع مجموعة من الإجراءات الوقائية تشمل:
- إعادة تعيين كلمات المرور لجميع الحسابات المحلية على SonicWall، وحذف الحسابات غير المستخدمة.
- تفعيل سياسات المصادقة متعددة العوامل لخدمات SSLVPN.
- ضبط مجموعة مستخدمي LDAP الافتراضية على الوضع “None”.
- قصر الوصول إلى Virtual Office Portal على الشبكات المحلية الموثوقة ومراقبة محاولات الدخول.
- ضمان تشغيل جميع أجهزة SonicWall على آخر إصدار محدث.
وأشارت SonicWall إلى أن النسخة الجديدة SonicOS 7.3.0 توفر تعزيزات إضافية ضد هجمات القوة الغاشمة، إلى جانب تحسينات في أدوات المصادقة متعددة العوامل.
