Reconnaissance massive contre les VPN SonicWall via proxys commerciaux (84 000+ scans en 4 jours)

Source: GreyNoise — GreyNoise documente une campagne de reconnaissance à grande échelle entre le 22 et le 25 février 2026 ciblant les pare-feux SonicWall SonicOS/SSL VPN. En quatre jours, 84 142 sessions issues de 4 305 IPs (20 AS) ont principalement sondé un unique endpoint API afin d’identifier les équipements avec SSL VPN activé, étape préalable aux attaques par identifiants. L’exploitation de CVE est restée marginale, confirmant une phase de cartographie d’attaque. Le risque est élevé car l’accès initial via SonicWall SSL VPN est un vecteur courant de rançongiciel (notamment Akira et Fog), avec des cas d’encryption < 4 h.

Points saillants et chronologie: 92 % des sessions visaient l’API de statut VPN (/api/sonicos/is-sslvpn-enabled), 7,9 % le point d’entrée NetExtender (/cgi-bin/userLogin) et 0,3 % des chemins d’administration. La campagne s’est déroulée en 4 salves: Burst 1 (22 fév., 00:00–19:00 UTC, 30 952 sessions), période creuse (~31 h) avec seul le cluster NetExtender actif en fond, Burst 2 (24 fév., 04:00–12:00 UTC, 17 991 sessions via proxy), Burst 3 (24 fév., 15:00–17:00 UTC, pic horaire à 7 374), et Burst 4 (25 fév., 08:00–13:00 UTC, pic à 5 899). La baisse de 95 % le 23 février indique une planification opératoire délibérée.

Infrastructures impliquées: quatre clusters distincts. 1) Netherlands VPN Hunters (28 %) — 6 IPs (AS211736) depuis Amsterdam, double ciblage SonicWall + Cisco ASA, empreintes HASSH identiques et services HTTP (ports 7001–7003) minimalistes, total 23 794 sessions. 2) Commercial Proxy Spray (32 %) — ByteZero (bytezero[.]io) fournit 27 119 sessions via 4 102 IPs (154[.]208[.]64[.]0/21, transit AS3257), en deux fenêtres de 7 h et 9 h; faible volume par IP (moy. 6,6) pour éviter le rate-limiting; la plateforme client ByteZero est hors ligne depuis déc. 2025, laissant l’infrastructure opérer sans mitigation. 3) Mega-scanner (22 %) — 130[.]12[.]180[.]29 (AS202412), ~18 763 sessions, balayage multi-ports (dont 6666/7777/7443/9443) et rotation de 26 user agents. 4) NetExtender Persistent (8 %) — 156 IPs sur 4 plages, credential testing continu (54–72 sess./h), 6 629 sessions sur 4 jours avec identifiant client VPN légitime.

Empreintes et exploitation: Une empreinte HTTP unique (UA Chrome 119 Linux + HTTP/1.0) apparaît dans 58 510 sessions (≈69,5 %), indicateur fiable d’outillage automatisé; le mega-scanner utilise des 17 en-têtes HTTP/1.1 avec UAs rotatifs; le cluster NetExtender opère en POST HTTP/1.1. L’exploitation active est rare: quelques tentatives liées à des CVE SonicWall recensées par CISA KEV dont CVE-2024-53704 (CVSS 9.8), CVE-2021-20028, CVE-2024-38475, CVE-2019-7481, etc., mais 92 % des sessions restent de la pré-exploitation (vérification de statut). Contexte élargi: >430 000 pare-feux SonicWall exposés, >25 000 SSL VPN vulnérables à des failles critiques, 20 000 sur firmware non supporté. L’usage de proxys commerciaux (IP rotatives datacenter) complique listes de blocage statiques et réputation IP; GreyNoise note une tendance sectorielle, avec la disruption d’IPIDEA (réseau résidentiel) par Google et des campagnes de brute force massives (2,8 M IP/j).

IOCs et TTPs observés:

• IoCs (sélection):
  • Endpoints ciblés: /api/sonicos/is-sslvpn-enabled, /sonicui/7/login/, /cgi-bin/userLogin
  • Ranges/ASNs à risque: 154[.]208[.]64[.]0/21 (proxy ByteZero, AS3257), 185[.]177[.]72[.]0/24 (bullet-proof), 185[.]156[.]73[.]0/24 et 88[.]210[.]63[.]0/24 (flotte scanner), 204[.]76[.]203[.]0/24; cluster NL IPs (ex.: 88[.]210[.]63[.]77/78/79, 185[.]156[.]73[.]19/31/73, AS211736); 130[.]12[.]180[.]29 (AS202412)
  • Ports: 7001–7003, 6666, 7777, 7443, 9443
  • Empreinte HTTP: UA Chrome 119 Linux + HTTP/1.0 (mismatch)
  • CVEs référencées: CVE-2024-53704, CVE-2024-40766, CVE-2022-22274, CVE-2023-0656, CVE-2021-20028, CVE-2024-38475, CVE-2019-7481
• TTPs (décrites dans l’article): Reconnaissance automatisée par énumération d’API, usage de proxys commerciaux et rotation d’IP pour évasion, credential testing via client NetExtender, scan multi-ports (y compris non standard), fingerprinting falsifié (UA moderne + HTTP/1.0), ciblage multi-constructeurs (SonicWall + Cisco ASA).

Type d’article et objectif: analyse technique/veille — un rapport d’analyse de menace visant à décrire une campagne de reconnaissance en cours, ses infrastructures, indicateurs et implications avant une phase potentielle d’exploitation.

🧠 TTPs et IOCs détectés

TTP

[‘Reconnaissance automatisée par énumération d’API’, ‘Usage de proxys commerciaux et rotation d’IP pour évasion’, ‘Credential testing via client NetExtender’, ‘Scan multi-ports (y compris non standard)’, ‘Fingerprinting falsifié (UA moderne + HTTP/1.0)’, ‘Ciblage multi-constructeurs (SonicWall + Cisco ASA)’]

IOC

{’endpoints’: [’/api/sonicos/is-sslvpn-enabled’, ‘/sonicui/7/login/’, ‘/cgi-bin/userLogin’], ‘ranges_asns’: [‘154.208.64.0/21’, ‘185.177.72.0/24’, ‘185.156.73.0/24’, ‘88.210.63.0/24’, ‘204.76.203.0/24’, ‘AS211736’, ‘AS202412’], ‘ips’: [‘88.210.63.77’, ‘88.210.63.78’, ‘88.210.63.79’, ‘185.156.73.19’, ‘185.156.73.31’, ‘185.156.73.73’, ‘130.12.180.29’], ‘ports’: [‘7001’, ‘7002’, ‘7003’, ‘6666’, ‘7777’, ‘7443’, ‘9443’], ‘http_fingerprint’: ‘UA Chrome 119 Linux + HTTP/1.0’, ‘cves’: [‘CVE-2024-53704’, ‘CVE-2024-40766’, ‘CVE-2022-22274’, ‘CVE-2023-0656’, ‘CVE-2021-20028’, ‘CVE-2024-38475’, ‘CVE-2019-7481’]}

---

🔗 Source originale : https://www.greynoise.io/blog/active-reconnaissance-campaign-targets-sonicwall-firewalls-through-commercial-proxy-infrastructure