أعلنت شركة SonicWall أن النشاط المتزايد الذي استهدف مؤخراً أجهزة جدران الحماية من الجيل السابع والأحدث والتي تم تفعيل بروتوكول SSL VPN عليها، مرتبط بثغرة أمنية قديمة تم إصلاحها سابقًا، إضافة إلى استخدام كلمات مرور مُعاد استخدامها، نافية أن تكون تلك الهجمات ناتجة عن ثغرة “يوم الصفر”.
وقالت الشركة: “نحن على ثقة عالية بأن النشاط الأخير المرتبط بـ SSL VPN لا يعود إلى ثغرة يوم الصفر، بل هناك ارتباط كبير بين هذه الهجمات والنشاط التهديدي المرتبط بالثغرة CVE-2024-40766”.
تفاصيل الثغرة الأمنية CVE-2024-40766
تُعد الثغرة CVE-2024-40766، التي حصلت على تقييم خطورة قدره 9.3 وفقًا لمقياس CVSS، من نوع “التحكم غير السليم في الوصول”، وقد كشفت عنها SonicWall لأول مرة في أغسطس 2024.
وفي التحذير الأمني الصادر آنذاك، أوضحت الشركة أن الخلل يكمن في آلية إدارة الوصول لنظام التشغيل SonicOS، ما قد يسمح للمهاجمين غير المصرح لهم بالوصول إلى الموارد المحمية، وفي بعض الحالات، يؤدي إلى تعطل جدار الحماية.
أخطاء الترقية من الجيل السادس إلى السابع
ذكرت الشركة أنها تحقق حاليًا في أقل من 40 حادثة مرتبطة بهذا النشاط، موضحة أن العديد منها مرتبط بترقية الأجهزة من الجيل السادس إلى الجيل السابع دون إعادة تعيين كلمات مرور المستخدمين المحليين، وهو إجراء أوصت به سابقًا كجزء من التصدي للثغرة المذكورة.
تحديثات أمنية وتوصيات ضرورية
أشارت SonicWall إلى أن إصدار SonicOS 7.3 يتضمن حماية إضافية ضد هجمات تخمين كلمات المرور والهجمات التي تستهدف المصادقة متعددة العوامل (MFA).
وقد أصدرت الشركة توجيهات محدثة للمستخدمين تتضمن ما يلي:
-
تحديث البرنامج الثابت إلى إصدار SonicOS 7.3.0
-
إعادة تعيين كلمات مرور جميع حسابات المستخدمين المحليين، خاصة تلك التي تم ترحيلها من الجيل السادس إلى السابع
-
تفعيل خاصية الحماية من الشبكات الآلية الضارة (Botnet Protection) وفلترة المواقع جغرافيًا (Geo-IP Filtering)
-
فرض استخدام المصادقة متعددة العوامل وسياسات كلمات مرور قوية
-
حذف الحسابات غير المستخدمة أو غير النشطة
استغلال في هجمات فدية Akira
تأتي هذه التطورات في وقت أبلغت فيه عدة شركات أمنية عن تصاعد في الهجمات التي تستغل أجهزة SonicWall SSL VPN ضمن حملات فدية باستخدام برمجيات Akira، مما يزيد من أهمية اتخاذ تدابير وقائية عاجلة لتفادي الاختراقات المستقبلية.
