SonicWall

Selon Huntress (blog), une compromission étendue de dispositifs SonicWall SSLVPN a touché plus de 100 comptes répartis sur 16 environnements clients, avec des connexions malveillantes observées à partir du 4 octobre. L’enquête met en évidence l’usage d’identifiants valides plutôt que du bruteforce, et une origine récurrente des connexions depuis l’adresse IP 202.155.8[.]73. 🚨 Sur le plan technique, les attaquants ont procédé à des authentifications rapides sur de multiples comptes, particulièrement entre les 4 et 6 octobre. Les sessions présentaient des comportements post-exploitation variables : certaines se déconnectaient rapidement, tandis que d’autres évoluaient vers du scan réseau et des tentatives d’accès à des comptes Windows locaux. ...

Source: Arctic Wolf — SonicWall a conclu son enquête sur l’exposition de fichiers de sauvegarde de configuration stockés dans les comptes MySonicWall, confirmant que tous les clients utilisant la sauvegarde cloud sont affectés. L’incident est critique car ces fichiers contiennent des identifiants sensibles historiquement exploités par des groupes étatiques et des rançongiciels. • Impact et nature de l’exposition: Les sauvegardes de configuration de pare-feu exposées incluent des informations sensibles telles que les paramètres d’utilisateurs/groupes/domaines, la configuration DNS, des certificats et des identifiants. Les acteurs malveillants peuvent viser ces données pour un accès non autorisé aux environnements protégés. 🚨 ...

Source et contexte: Arctic Wolf Labs publie une analyse approfondie d’une campagne toujours active (débutée fin juillet 2025) où le ransomware Akira cible des environnements équipés de pare-feux SonicWall via des connexions SSL VPN malveillantes, avec des temps de compromission et de chiffrement mesurés en heures. • Vecteur initial et vulnérabilités: Les intrusions débutent par des connexions SSL VPN provenant de VPS/ASNs d’hébergement, souvent suivies en minutes par du scan réseau et l’usage d’Impacket. Des comptes locaux et LDAP-synchronisés (y compris des comptes AD de synchro non censés se connecter en VPN) sont utilisés. Les acteurs valident des défis OTP/MFA sur SonicOS, bien que la méthode exacte de contournement reste non élucidée. SonicWall lie la campagne à CVE‑2024‑40766 (improper access control) et évoque la possibilité d’identifiants dérobés sur des versions vulnérables puis réutilisés après mise à jour. Arctic Wolf mentionne aussi l’incident MySonicWall cloud backup sans lien établi avec cette campagne. ...

Selon Arctic Wolf Labs, depuis fin juillet 2025, une hausse d’intrusions impliquant des connexions suspectes aux SonicWall SSL VPN est observée, rapidement suivies de scans réseau, d’activité SMB via Impacket et du déploiement du ransomware Akira. SonicWall relie ces connexions malveillantes à la vulnérabilité CVE‑2024‑40766 (improper access control), laissant penser à une réutilisation d’identifiants récoltés sur des appareils auparavant vulnérables, même après correctif. L’infrastructure de la campagne a encore évolué au 20 septembre 2025. ...

Selon BleepingComputer (Sergiu Gatlan, 23 septembre 2025), SonicWall a publié un nouveau firmware pour les appliances SMA 100 afin d’aider à retirer un rootkit observé dans des attaques récentes. 🛡️ SonicWall annonce la version de firmware SMA 100 10.2.2.2-92sv avec vérifications de fichiers renforcées permettant de retirer des rootkits connus présents sur les équipements. L’éditeur recommande fortement la mise à niveau pour les SMA 210, 410 et 500v. 🔎 Contexte menace: en juillet, le Google Threat Intelligence Group (GTIG) a observé l’acteur UNC6148 déployer le malware OVERSTEP sur des appareils SMA 100 en fin de vie, dont le support se termine le 1er octobre 2025. OVERSTEP est un rootkit en mode utilisateur qui assure une persistance (composants cachés, reverse shell) et exfiltre des fichiers sensibles (dont les fichiers persist.database et certificats), exposant identifiants, graines OTP et certificats. ...

Source : SonicWall (Support). ⚠️ SonicWall indique avoir détecté puis confirmé un incident visant le service de sauvegarde cloud de ses pare-feux : des attaques par force brute ont permis à des acteurs malveillants d’accéder à des fichiers de préférences de pare-feu stockés dans le cloud. Selon l’éditeur, l’accès concerne moins de 5 % de la base installée. Les identifiants présents dans ces fichiers sont chiffrés, mais les fichiers contiennent également des informations pouvant faciliter une exploitation des pare-feux concernés. SonicWall précise n’avoir aucune preuve de fuite publique à ce stade et qu’il ne s’agit pas d’un ransomware, mais d’une série d’attaques par force brute. ...

Selon Rapid7 et des informations communiquées par SonicWall, une campagne de ransomware Akira a démarré le mois dernier en ciblant des appliances SonicWall. SonicWall a publié un avis de sécurité et a précisé par la suite que ces intrusions sont liées à la vulnérabilité d’août 2024 SNWLID-2024-0015, pour laquelle les étapes de remédiation n’ont pas été correctement complétées. 🚨 Rapid7 indique avoir envoyé des communications d’alerte de menace à ses clients afin de prioriser l’application des correctifs. Depuis ces communications, l’équipe Incident Response (IR) de Rapid7 rapporte une augmentation des intrusions impliquant des équipements SonicWall. ...

Selon Cyble, le Centre australien pour la cybersécurité (ACSC) de l’ASD a confirmé l’exploitation active de la vulnérabilité CVE-2024-40766 ciblant les VPN SSL de SonicWall, et appelle les organisations australiennes à appliquer des mesures immédiates. ⚠️ Fait principal: exploitation active de CVE-2024-40766 sur des SonicWall SSL VPNs. Mesures urgentes recommandées par l’ACSC: Application immédiate des correctifs (patching) pour les appliances concernées. Activation de l’authentification multifacteur (MFA). Renforcement des contrôles d’accès aux services exposés. Portée: l’alerte vise en priorité les organisations australiennes, compte tenu du risque en cours. ...

Selon Arctic Wolf (Arctic Wolf Labs), fin juillet 2025, une hausse d’activité liée au ransomware a ciblé des pare‑feu SonicWall, en particulier via les SSL VPN, pour obtenir l’accès initial. 🚨 Les analystes ont observé plusieurs intrusions pré‑ransomware rapprochées, chacune impliquant un accès VPN via les SSL VPN SonicWall. Bien que des voies de compromission par brute force, attaques par dictionnaire ou credential stuffing n’aient pas été formellement exclues dans tous les cas, les éléments disponibles pointent vers l’existence d’une vulnérabilité zero‑day. 🕳️ ...

Le Cyber Fusion Center de Kudelski Security a signalé une exploitation active d’une vulnérabilité zero-day dans les appareils SonicWall Gen 7 SSL-VPN par des affiliés du ransomware Akira. Cette vulnérabilité permet de contourner l’authentification et la MFA sur des appareils entièrement patchés, offrant ainsi un accès direct au réseau. Des intrusions confirmées ont eu lieu en Amérique du Nord et en Europe, entraînant le vol de données d’identification, la désactivation d’outils de sécurité, et le déploiement de ransomware. ...