Bakgrund


SonicWall har varnat kunder för att inaktivera SSL VPN-tjänster eftersom ransomwaregrupper aktivt utnyttjar en okänd säkerhetssårbarhet i Generation 7-brandväggar för att bryta sig in i nätverk.
Detta betraktas som ett kritiskt och pågående hot.

Sårbarhet


Attacker inleds med att SonicWall-enheten bryts, följt av att angripare använder en välkänd post-exploit-kedja: uppräkning, undvikande av upptäckt, lateral rörelse och stöld av autentiseringsuppgifter.
Angriparna stänger också metodiskt av Microsoft Defender Antivirus och raderar volymskuggkopior innan de distribuerar Akira-ransomware.
Verktyg som AnyDesk, ScreenConnect eller SSH används för rekognosering och ihållande åtkomst.
Aktiviteten verkar vara begränsad till SonicWalls TZ- och NSa-serier med SSL VPN aktiverat, med sårbarheten i firmwareversioner 7.2.0-7015 eller tidigare.

Rekommendationer


SonicWall meddelar att patchar och riktlinjer kommer att publiceras så snart som möjligt. Tills dess bör organisationer som använder Gen 7-brandväggar vidta följande åtgärder:

  • Inaktivera SSL VPN om möjligt

  • Begränsa SSL VPN-åtkomst till betrodda IP-adresser

  • Aktivera funktioner som botnetskydd och Geo-IP-filter

  • Aktivera multifaktorautentisering (MFA)

  • Ta bort inaktiva eller oanvända lokala konton med SSL VPN-behörighet

  • Uppmana till regelbundna lösenordsbyten
    Om du tror att en enhet har blivit komprometterad, kontakta Integrity360:s Incident Response-team omedelbart.

Mer information


Mer om zero-day-sårbarheten här:
https://www.huntress.com/blog/exploitation-of-sonicwall-vpn

Källor
https://thehackernews.com/2025/08/sonicwall-investigating-potential-ssl.html
https://www.bleepingcomputer.com/news/security/sonicwall-urges-admins-to-disable-sslvpn-amid-rising-attacks/

https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430

Om du är orolig för något av hoten som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de allvarligaste hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativt kontakta oss för att ta reda på hur du kan skydda din organisation.

 

Contact Us