“SonicWall đang tích cực điều tra sự gia tăng gần đây của các sự cố mạng liên quan đến một số tường lửa Gen 7 chạy nhiều phiên bản firmware khác nhau có bật SSL VPN,” một người phát ngôn của công ty cho biết như vậy trên trang The Register.

“Các trường hợp này được phát hiện cả từ nội bộ lẫn các nhóm nghiên cứu mối đe dọa bên ngoài, bao gồm Arctic Wolf, Google Mandiant và Huntress. Chúng tôi đang phối hợp chặt chẽ với các tổ chức đó để xác định xem hoạt động này liên quan đến một lỗ hổng đã được công bố trước đó hay là một lỗ hổng 0-day mới”, người phát ngôn của SonicWall cho biết thêm.

Dù hiện tại SonicWall vẫn chưa xác nhận sự tồn tại của lỗi bảo mật mới, nhưng công ty hứa sẽ phát hành bản cập nhật firmware và hướng dẫn “nhanh nhất có thể” nếu lỗ hổng được xác nhận.

Trong khi chờ đợi, SonicWall khuyến cáo các khách hàng đang dùng tường lửa Gen 7 nên tắt tính năng SSL VPN nếu có thể, và thực hiện các bước sau để giảm thiểu rủi ro xâm nhập:

Giới hạn quyền truy cập SSL VPN chỉ từ các địa chỉ IP tin cậy.

Bật các dịch vụ bảo mật như chặn botnet và bộ lọc theo vị trí địa lý (geo-IP).

Xóa các tài khoản người dùng tường lửa không còn dùng đến.

Thực hành chính sách mật khẩu mạnh.

Bật xác thực đa yếu tố (MFA) cho mọi truy cập từ xa.

Tuy nhiên, SonicWall cảnh báo rằng việc bật MFA cũng có thể không đủ để ngăn chặn hoạt động ransomware đang được điều tra.

Với việc các tác nhân đe dọa từ lâu đã nhắm vào các thiết bị VPN của SonicWall, người dùng nên triển khai ngay các biện pháp phòng ngừa nêu trên và theo dõi các thông tin về lỗ hổng cũng như bản vá sắp tới.

Việc thừa nhận của SonicWall được đưa ra sau khi nhiều công ty an ninh mạng cảnh báo về các băng nhóm ransomware đang khai thác một lỗ hổng 0-day trong VPN của SonicWall để vượt qua MFA và triển khai mã độc.

Huntress cho biết trong một khuyến cáo được đưa ra ngày hôm qua rằng Trung tâm Điều hành An ninh (SOC) của họ đã phản ứng trước một “làn sóng sự cố nghiêm trọng có nguồn gốc từ thiết bị SonicWall Secure Mobile Access (SMA) và tường lửa.”

“Tốc độ và mức độ thành công của các cuộc tấn công – ngay cả khi môi trường đã bật MFA – cho thấy rõ ràng rằng có thể đang có lỗ hổng 0-day bị khai thác ngoài thực địa,” nhóm tình báo đe dọa của Huntress nhận định.

Những kẻ tấn công nhanh chóng di chuyển từ thiết bị lỗi sang hệ thống điều khiển miền (domain controller) chỉ trong vài giờ sau khi xâm nhập ban đầu. Các hành vi sau khai thác bao gồm: đánh cắp thông tin xác thực, vô hiệu hóa công cụ bảo mật, và triển khai ransomware. Huntress cho biết kẻ tấn công có khả năng đã triển khai ransomware Akira — một biến thể từng khai thác lỗi nghiêm trọng của SonicWall vào năm ngoái.

Cảnh báo từ Arctic Wolf hồi cuối tuần trước cũng giống với Huntress, khi cho biết hoạt động ransomware gia tăng liên quan đến SSL VPN của SonicWall bắt đầu từ ngày 15/7, dù đã bật MFA.

Arctic Wolf cũng cho rằng Akira là thủ phạm, với lưu ý rằng đây là một trong năm biến thể ransomware bị FBI báo cáo nhiều nhất nhắm vào hạ tầng trọng yếu trong năm ngoái.

“Dù chưa thể loại trừ hoàn toàn các phương pháp truy cập như brute force, tấn công từ điển hay nhồi xác thực (credential stuffing), nhưng các bằng chứng hiện có đều chỉ ra khả năng tồn tại một lỗ hổng 0-day,” nhà nghiên cứu tình báo Julian Tuin của Arctic Wolf viết. “Trong một số trường hợp, thiết bị SonicWall đã được cập nhật đầy đủ vẫn bị xâm nhập sau khi xoay vòng thông tin đăng nhập, điều này càng củng cố nghi vấn về 0-day.”

Ông Julian Tuin cũng khuyến cáo nên vô hiệu hóa SSL VPN của SonicWall cho đến khi có bản vá, do “khả năng cao tồn tại lỗ hổng chưa được công bố.”

Nguyễn Yến (theo The Register)