SonicWall phát đi cảnh báo khẩn sau khi nhiều sự cố tấn công ransomware bằng Akira ransomware được ghi nhận qua dịch vụ SSL VPN trên các thiết bị Gen 7 firewall. Các nhà nghiên cứu nghi ngờ hệ thống đã bị khai thác bởi một lỗ hổng zero‑day (chưa được công bố), cho phép tấn công mà không cần xác thực, ngay cả khi MFA đã được kích hoạt .
Các chuyên gia theo dõi các cuộc tấn công từ khoảng giữa tháng 7/2025, đánh giá rằng các thiết bị đã cập nhật đầy đủ vẫn bị xâm nhập, kể cả sau khi mật khẩu và mã OTP được đổi, cho thấy khả năng tồn tại lỗ hổng zero‑day. Ghi nhận gần 20 sự cố tấn công liên tục từ cuối tháng 7 đến đầu tháng 8, với hành vi bypass MFA và triển khai ransomware chỉ sau vài giờ tiếp cận máy chủ.
Dù hiện tại chưa có bằng chứng xác nhận 100%, nhưng quá trình phân tích không phát hiện thấy việc sử dụng kỹ thuật brute force hay tấn công bằng mật khẩu lộ lọt. Thay vào đó, tốc độ và mức độ xâm nhập cho thấy khả năng rất cao kẻ tấn công đã tận dụng một lỗ hổng chưa được vá (zero-day), đặc biệt là để vượt qua cả lớp bảo vệ MFA.
Một khi bị xâm nhập qua VPN, tin tặc có thể nhanh chóng mở rộng quyền truy cập, kiểm soát hệ thống nội bộ và triển khai mã độc tống tiền. Việc nhắm vào tường lửa, khiến mức độ nguy hiểm của lỗ hổng này tăng lên nhiều lần. Mọi doanh nghiệp sử dụng thiết bị Gen 7 và kích hoạt SSL VPN đều nằm trong diện rủi ro.
Các vụ tấn công chủ yếu nhắm vào firewall SonicWall Gen 7 (model TZ và NSa), phiên bản SonicOS 7.2.0‑7015 và cũ hơn.
Các chuyên gia theo dõi các cuộc tấn công từ khoảng giữa tháng 7/2025, đánh giá rằng các thiết bị đã cập nhật đầy đủ vẫn bị xâm nhập, kể cả sau khi mật khẩu và mã OTP được đổi, cho thấy khả năng tồn tại lỗ hổng zero‑day. Ghi nhận gần 20 sự cố tấn công liên tục từ cuối tháng 7 đến đầu tháng 8, với hành vi bypass MFA và triển khai ransomware chỉ sau vài giờ tiếp cận máy chủ.
Dù hiện tại chưa có bằng chứng xác nhận 100%, nhưng quá trình phân tích không phát hiện thấy việc sử dụng kỹ thuật brute force hay tấn công bằng mật khẩu lộ lọt. Thay vào đó, tốc độ và mức độ xâm nhập cho thấy khả năng rất cao kẻ tấn công đã tận dụng một lỗ hổng chưa được vá (zero-day), đặc biệt là để vượt qua cả lớp bảo vệ MFA.
Các vụ tấn công chủ yếu nhắm vào firewall SonicWall Gen 7 (model TZ và NSa), phiên bản SonicOS 7.2.0‑7015 và cũ hơn.
Các khuyến cáo và giải pháp tạm thời:
Dù chưa công bố bản vá cụ thể, SonicWall đã đưa ra các hướng dẫn bảo vệ khẩn cấp để giảm thiểu rủi ro:- Vô hiệu hóa tính năng SSL VPN ngay lập tức, nếu không bắt buộc sử dụng.
- Giới hạn truy cập VPN chỉ từ địa chỉ IP tin cậy.
- Kích hoạt các dịch vụ bảo mật: Botnet Protection, lọc theo địa lý (Geo‑IP Filtering) để ngăn kết nối từ các nguồn nguy hiểm.
- Bắt buộc sử dụng MFA cho mọi truy cập từ xa, xóa tài khoản không sử dụng và khuyến khích mật khẩu mạnh, cập nhật thường xuyên.
- Ngoài ra, người quản trị nên thường xuyên kiểm tra nhật ký (logs) để phát hiện các hành vi bất thường và cập nhật phần mềm thiết bị ngay khi có bản vá chính thức được phát hành.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview