Akira cilja SonicWall SSLVPN CVE-2024-40766

Sadržaj

‍
Akira grupa ponovno iskorištava ranjivost CVE-2024-40766 u SonicWall SSLVPN komponenti za početni pristup mrežama žrtava. Proizvođač navodi da nije riječ o zero day propustu nego o već poznatoj ranjivosti te mogućim lošim postavkama i recikliranim vjerodajnicama, a zabilježen je novi val napada od kraja srpnja do rujna 2025. CVE je na CISA KEV popisu pa se smatra prioritetnim za sanaciju.

U hrvatskom kontekstu, Akira je u srpnju 2024. preuzela odgovornost za napad na Zračnu luku Split Sveti Jeronim, što je uzrokovalo ručni check in, kašnjenja i preusmjeravanja letova. Uprava i Vlada odbile su pregovore o otkupnini

Detalji

‍
CVE-2024-40766 je propust nepravilne kontrole pristupa u SonicOS upravljačkom sučelju i SSLVPN komponenti. Prema NVD metrikama ima CVSS 9.8 s vektorom AV N AC L PR N UI N S U C H I H A H, dok CISA ADP navodi alternativni vektor s ocjenom 9.3. Pogođeni su Gen 5 i Gen 6 uređaji te Gen 7 verzije do 7.0.1 5035 uključivo, a starije 6.5 grane su ranjive do točno navedenih podverzija u NVD zapisu.
‍
Napadi često kombiniraju tri čimbenika. Prvo, neazurirane ili ranjive SSLVPN instance izložene internetu. Drugo, pogrešne postavke LDAP SSL VPN Default User Groups koje mogu automatski dodijeliti preširoka prava svakoj uspješnoj AD prijavi. Treće, pristup Virtual Office portalu koji u zadanim postavkama može omogućiti napadaču da uz prethodno kompromitirane vjerodajnice samostalno postavi mMFA ili TOTP za legitimne račune. Rapid7 i medijski izvještaji procjenjuju da Akira kombinira sve tri točke za brzu eskalaciju i šifriranje.
‍
SonicWall je dodatno pojasnio da je dio zapaženih incidenata vezan uz prijenose konfiguracija s Gen 6 na Gen 7 tijekom kojih su zadržane lokalne lozinke. Tvrtka s visokom razinom pouzdanja povezuje val incidenata s CVE-2024-40766, a ne s novim propustom.

Preporuka

‍
Ažurirati firmware na izdanje koje uklanja CVE-2024-40766 prema službenom PSIRT savjetu te izdanim granama za vaš model. Za Gen 7 obavezno ići iznad verzije 7.0.1 5035, a za Gen 6 iznad granica koje navodi NVD. Nakon nadogradnje promijeniti administratorske i lokalne lozinke te onemogućiti sve nekorištene lokalne račune.
‍
Ograničiti SSLVPN pristup na pouzdane izvore uz dozvoljene IP adrese te po mogućnosti privremeno isključiti SSLVPN ako nije poslovno kritičan. Uključiti Botnet filtriranje, Geo IP filter i politiku zaključavanja računa nakon više neuspješnih prijava.
‍
Revidirati LDAP SSL VPN Default User Groups i dodjele prava kako bi samo potrebne AD grupe imale pristup osjetljivim servisima. Zatvoriti ili ograničiti javni pristup Virtual Office portalu te onemogućiti samostalno postavljanje mMFA ili TOTP bez nadzora.
‍
Provesti lov na prijetnje u zapisima. Tražiti neuobičajene VPN prijave s VPS hosting mreža, brze sukcesije prijava i promjena mMFA postavki, te nagli rast aktivnosti nad datotečnim poslužiteljima prije šifriranja. Ako se uoče indikatori kompromitacije odmah rotirati vjerodajnice, izolirati pogođene sustave i aktivirati plan odgovora na incidente.

Reference

‍
https://nvd.nist.gov/vuln/detail/CVE-2024-40766
https://www.bleepingcomputer.com/news/security/akira-ransomware-exploiting-critical-sonicwall-sslvpn-bug-again/
https://thehackernews.com/2025/09/sonicwall-ssl-vpn-flaw-and.html

‍