Le Cyber Fusion Center de Kudelski Security a signalé une exploitation active d’une vulnérabilité zero-day dans les appareils SonicWall Gen 7 SSL-VPN par des affiliés du ransomware Akira.
Cette vulnérabilité permet de contourner l’authentification et la MFA sur des appareils entièrement patchés, offrant ainsi un accès direct au réseau. Des intrusions confirmées ont eu lieu en Amérique du Nord et en Europe, entraînant le vol de données d’identification, la désactivation d’outils de sécurité, et le déploiement de ransomware.
L’attaque cible les firewalls SonicWall Gen 7 TZ et NSa-series exécutant le firmware 7.2.0-7015 et antérieur. Les attaquants compromettent directement l’appliance SSL-VPN, puis exploitent des comptes de domaine sur-privilégiés pour escalader les privilèges.
Les étapes de l’attaque incluent :
- Déploiement de tunnels Cloudflared et OpenSSH pour la persistance
- Mouvement latéral via WMI/PowerShell remoting
- Dumping de données d’identification
- Désactivation des outils de sécurité avec Set-MpPreference et netsh.exe
- Exfiltration de données via WinRAR et des outils FTP
- Déploiement final du ransomware Akira ciblant l’infrastructure de sauvegarde.
Cet article est une publication de recherche visant à informer sur une menace active et à recommander des mesures de protection immédiates.
🔗 Source originale : https://research.kudelskisecurity.com/2025/08/06/a-likely-zero-day-vulnerability-in-sonicwall-ssl-vpn-exploited-by-akira-ransomware-group/