Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Mã độc tống tiền Akira quay trở lại khai thác lỗ hổng SSLVPN nghiêm trọng của SonicWall

12:08 | 16/09/2025
Hồng Đạt

Nhóm tin tặc mã độc tống tiền Akira hiện đang tích cực khai thác CVE-2024-40766, một lỗ hổng kiểm soát truy cập nghiêm trọng đã tồn tại một năm, để truy cập trái phép vào các thiết bị SonicWall.

Những kẻ tấn công đang lợi dụng vấn đề bảo mật để truy cập vào các mạng mục tiêu thông qua các điểm cuối VPN SSL SonicWall chưa được vá. SonicWall đã phát hành bản vá cho CVE-2024-40766 vào tháng 8/2024, đánh dấu lỗ hổng này đang bị khai thác tích cực.

Vào thời điểm đó, SonicWall khuyến nghị mạnh mẽ rằng việc áp dụng bản cập nhật nên đi kèm với việc đặt lại mật khẩu cho người dùng có tài khoản SSLVPN được quản lý cục bộ.

Nếu không thay đổi mật khẩu sau khi cập nhật, kẻ tấn công có thể sử dụng thông tin đăng nhập bị rò rỉ của các tài khoản hợp lệ, để cấu hình hệ thống xác thực đa yếu tố (MFA) hoặc hệ thống xác thực một lần theo thời gian (TOTP), từ đó chiếm đoạt quyền truy cập.

Akira là một trong những nhóm mã độc tống tiền đầu tiên tích cực khai thác lỗ hổng này kể từ tháng 9/2024. Trong một động thái liên quan, Trung tâm An ninh mạng Úc (ACSC) đã đưa ra cảnh báo tới các tổ chức về hoạt động độc hại mới, kêu gọi hành động ngay lập tức. “ACSC nhận thấy gần đây có sự gia tăng hoạt động khai thác lỗ hổng bảo mật nghiêm trọng CVE-2024-40766 trong VPN SSL SonicWall tại Úc”, thông báo nêu rõ .

Công ty an ninh mạng Rapid7 (Mỹ) đã đưa ra những quan sát tương tự, báo cáo rằng các cuộc tấn công mã độc tống tiền Akira vào các thiết bị SonicWall gần đây đã bùng phát trở lại, có khả năng liên quan đến việc khắc phục chưa hoàn chỉnh.

Rapid7 cho biết các phương pháp xâm nhập như khai thác quyền truy cập Default Users Group để xác thực và kết nối với VPN, cũng như quyền truy cập công khai mặc định cho cổng Virtual Office Portal trên các thiết bị SonicWall.

Cần lưu ý rằng hoạt động này gần đây đã gây ra sự nhầm lẫn trong cộng đồng an ninh mạng, khi nhiều nhà nghiên cứu báo cáo rằng các tác nhân mã độc tống tiền đang tích cực khai thác lỗ hổng zero-day trong các sản phẩm SonicWall.

Nhà cung cấp đã công bố khuyến cáo bảo mật mới cho biết họ “rất tin tưởng rằng hoạt động SSLVPN gần đây không liên quan đến lỗ hổng bảo mật zero-day”, đồng thời phát hiện mối tương quan đáng kể với hoạt động đe dọa liên quan đến CVE-2024-40766. Tháng 8/2025, SonicWall lưu ý rằng họ đang điều tra tới 40 sự cố bảo mật liên quan đến hoạt động này.

Quản trị viên hệ thống được khuyến nghị nên cập nhật lên firmware phiên bản 7.3.0 trở lên, thay đổi mật khẩu tài khoản SonicWall, thực thi xác thực MFA, giảm thiểu rủi ro từ Default Groups và hạn chế quyền truy cập Virtual Office Portal vào các mạng nội bộ/đáng tin cậy.

Twitter Zalo Facebook YouTube Copy Link QR Code
MÃ ĐỘC TỐNG TIỀN LỖ HỔNG BẢO MẬT SONICWALL VPN AKIRA CVE-2024-40766
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết