SonicWall

🔍 Contexte Publié le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observées entre février et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnérabilité de contournement d’authentification dans les appliances SonicWall SSL VPN. 🎯 Vulnérabilité et mécanisme d’exploitation CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la manière dont le MFA est appliqué selon le format de login utilisé : ...

📡 Contexte Le 21 mai 2026, GreyNoise publie un signal d’alerte basé sur les données de son tag SonicWall SonicOS API Scanner, signalant une activité de scan anormalement élevée ciblant les interfaces de gestion SonicOS de SonicWall. 📊 Activité observée Entre le 9 et le 18 mai 2026, GreyNoise a enregistré un pic significatif de sessions de scan. Le 12 mai 2026 constitue le pic le plus élevé avec environ 597 000 sessions en une seule journée, soit environ 46 fois le volume quotidien habituel sur ce tag dans les 30 jours précédents. ...

🔍 Contexte Cette analyse technique est publiée par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procédures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opération Ransomware-as-a-Service (RaaS) à motivation financière. 🎯 Profil du groupe Akira Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti défunt A accumulé environ 244 millions USD de rançons jusqu’en septembre 2025 Cibles : entreprises et infrastructures critiques en Amérique du Nord, Europe et Australie Modèle de double extorsion : exfiltration de données avant chiffrement, publication sur un site dark web en cas de non-paiement ⚡ Rapidité d’exécution Akira est capable de mener l’intégralité du cycle d’attaque — de l’accès initial au chiffrement — en moins d’une heure, et dans la majorité des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois. ...

Source: GreyNoise — GreyNoise documente une campagne de reconnaissance à grande échelle entre le 22 et le 25 février 2026 ciblant les pare-feux SonicWall SonicOS/SSL VPN. En quatre jours, 84 142 sessions issues de 4 305 IPs (20 AS) ont principalement sondé un unique endpoint API afin d’identifier les équipements avec SSL VPN activé, étape préalable aux attaques par identifiants. L’exploitation de CVE est restée marginale, confirmant une phase de cartographie d’attaque. Le risque est élevé car l’accès initial via SonicWall SSL VPN est un vecteur courant de rançongiciel (notamment Akira et Fog), avec des cas d’encryption < 4 h. ...

Source: Huntress — Début février 2026, Huntress a répondu à une intrusion où des identifiants SonicWall SSLVPN compromis ont servi d’accès initial, avant le déploiement d’un « EDR killer » exploitant la technique de Bring Your Own Vulnerable Driver (BYOVD) via un driver EnCase (EnPortv.sys) signé mais révoqué, afin de tuer des processus de sécurité depuis le noyau. L’attaque a été interrompue avant une phase probable de rançongiciel. La télémétrie SonicWall ingérée par Huntress Managed SIEM a permis de reconstituer la chronologie: une tentative de connexion portail refusée depuis 193.160.216[.]221 a précédé d’une minute une authentification VPN réussie depuis 69.10.60[.]250. Une reconnaissance réseau agressive a suivi (ICMP ping sweeps, requêtes NetBIOS, activité SMB avec rafales >370 SYN/s). La corrélation SIEM–endpoint a facilité la détection, l’isolement des systèmes et des recommandations de remédiation (activer MFA sur les accès distants, revoir les logs VPN). ...

Source: ctrlaltnod.com — Contexte: analyse publiée le 29 janvier 2026 détaillant l’enchaînement entre une compromission du cloud MySonicWall (sept. 2025) et une attaque par ransomware contre Marquis Software Solutions (août 2025), avec impacts sectoriels aux États‑Unis. • Événement clé: des acteurs étatiques ont accédé au service cloud MySonicWall via des appels API, exfiltrant des sauvegardes de configurations de pare-feu. SonicWall a d’abord annoncé un impact « < 5% » avant de confirmer que tous les clients du service de sauvegarde cloud étaient touchés. ...

Selon BankInfoSecurity (article de Mathew J. Schwartz, 31 décembre 2025), plusieurs établissements financiers américains notifient des fuites de données liées à une attaque de ransomware ayant ciblé le fournisseur Marquis Software Solutions, éditeur texan de logiciels de marketing et de conformité pour plus de 700 banques et credit unions. • Nature de l’incident: une attaque de ransomware le 14 août impliquant la compromission d’un pare-feu SonicWall de Marquis. Des enquêteurs externes mandatés par Marquis ont établi que l’attaquant a pu accéder à des fichiers stockés par Marquis pour le compte de ses clients professionnels et que l’incident serait limité à l’environnement de Marquis. Les données potentiellement exposées incluent: noms, adresses, numéros de téléphone, numéros de sécurité sociale (SSN), informations de compte financier sans codes d’accès, et dates de naissance. 🚨 ...

TechCrunch (Zack Whittaker) rapporte que la fintech texane Marquis, prestataire marketing et conformité pour plus de 700 banques et credit unions, notifie des dizaines d’établissements après une attaque de ransomware survenue le 14 août 2025, révélée via des avis de violation de données déposés auprès de plusieurs États américains. L’impact est significatif : au moins 400 000 personnes sont confirmées affectées d’après les dépôts légaux dans l’Iowa, le Maine, le Texas, le Massachusetts et le New Hampshire, avec au moins 354 000 résidents texans touchés. Les données volées incluent des noms, dates de naissance, adresses postales, ainsi que des informations financières (numéros de compte bancaire, de cartes de débit et de crédit) et des numéros de Sécurité sociale (SSN). Marquis indique que les clients de la Maine State Credit Union comptent pour une part notable des notifications dans le Maine. Le nombre de personnes affectées devrait augmenter à mesure que d’autres notifications seront publiées. 🔐 ...

Selon Huntress (blog), une compromission étendue de dispositifs SonicWall SSLVPN a touché plus de 100 comptes répartis sur 16 environnements clients, avec des connexions malveillantes observées à partir du 4 octobre. L’enquête met en évidence l’usage d’identifiants valides plutôt que du bruteforce, et une origine récurrente des connexions depuis l’adresse IP 202.155.8[.]73. 🚨 Sur le plan technique, les attaquants ont procédé à des authentifications rapides sur de multiples comptes, particulièrement entre les 4 et 6 octobre. Les sessions présentaient des comportements post-exploitation variables : certaines se déconnectaient rapidement, tandis que d’autres évoluaient vers du scan réseau et des tentatives d’accès à des comptes Windows locaux. ...

Source: Arctic Wolf — SonicWall a conclu son enquête sur l’exposition de fichiers de sauvegarde de configuration stockés dans les comptes MySonicWall, confirmant que tous les clients utilisant la sauvegarde cloud sont affectés. L’incident est critique car ces fichiers contiennent des identifiants sensibles historiquement exploités par des groupes étatiques et des rançongiciels. • Impact et nature de l’exposition: Les sauvegardes de configuration de pare-feu exposées incluent des informations sensibles telles que les paramètres d’utilisateurs/groupes/domaines, la configuration DNS, des certificats et des identifiants. Les acteurs malveillants peuvent viser ces données pour un accès non autorisé aux environnements protégés. 🚨 ...