SonicWall đã phát hành một cảnh báo bảo mật khẩn cấp sau khi ghi nhận sự gia tăng đáng kể các cuộc tấn công mạng nhắm vào các tường lửa Generation 7 có chức năng SSLVPN được bật trong 72 giờ qua.

Điều Tra và Mối Đe Dọa Lỗ Hổng Zero-Day Tiềm Ẩn

Công ty bảo mật đang tích cực điều tra liệu các sự cố này có bắt nguồn từ một lỗ hổng đã được tiết lộ trước đây hay đại diện cho một mối đe dọa bảo mật mới, đặc biệt là khả năng về một lỗ hổng zero-day. SonicWall đang phối hợp chặt chẽ với các tổ chức nghiên cứu mối đe dọa hàng đầu, bao gồm Arctic Wolf, Google, Mandiant và Huntress, để đánh giá phạm vi và bản chất của các cuộc tấn công này.

Sự gia tăng đột biến gần đây bao gồm cả các sự cố được phát hiện nội bộ trong hệ thống giám sát của SonicWall và các trường hợp được báo cáo từ bên ngoài bởi các nhóm nghiên cứu an ninh mạng.

Các cuộc tấn công này đặc biệt nhắm vào các tường lửa SonicWall Gen 7 nơi dịch vụ SSLVPN vẫn đang hoạt động. Điều này cho thấy một nỗ lực phối hợp của các tác nhân đe dọa nhằm khai thác các lỗ hổng truy cập từ xa.

Khoảng thời gian tập trung trong 72 giờ cho thấy đây có thể là một chiến dịch có tổ chức hoặc tiềm năng phát hiện và khai thác một lỗ hổng zero-day ảnh hưởng đến các thiết bị bảo mật cấp doanh nghiệp này.

Mức Độ Nghiêm Trọng và Sự Phối Hợp Cộng Đồng

Sự tham gia của nhiều công ty an ninh mạng uy tín trong việc xác định và báo cáo các sự cố này nhấn mạnh mức độ nghiêm trọng và tính chất lan rộng của mối đe dọa. Arctic Wolf, Google Mandiant và Huntress là những đơn vị hàng đầu trong phát hiện mối đe dọa và ứng phó sự cố.

Sự chú ý tập thể của họ đối với vấn đề này đặc biệt quan trọng đối với cộng đồng bảo mật mạng.

Phản ứng của SonicWall thể hiện tính khẩn cấp của tình hình. Công ty đã ngay lập tức hợp tác với các đối tác nghiên cứu mối đe dọa bên ngoài để đẩy nhanh quá trình điều tra về lỗ hổng zero-day này.

Phương pháp tiếp cận hợp tác này bao gồm liên lạc liên tục với cả đối tác và khách hàng khi thông tin mới xuất hiện. Sự minh bạch này phản ánh các thực hành tốt nhất trong ngành để xử lý các lỗ hổng zero-day tiềm ẩn có thể ảnh hưởng đến hàng nghìn mạng doanh nghiệp trên toàn thế giới.

Các Biện Pháp Giảm Thiểu và Cập Nhật Bản Vá Khẩn Cấp

SonicWall cam kết phát hành firmware cập nhật và các hướng dẫn toàn diện một cách kịp thời. Điều này sẽ diễn ra ngay khi các nhà điều tra xác nhận sự tồn tại của một lỗ hổng zero-day mới hoặc xác định bản chất của cuộc tấn công.

Quan điểm chủ động này nhằm mục đích giảm thiểu thiệt hại tiềm tàng, đồng thời đảm bảo khách hàng nhận được sự bảo vệ kịp thời chống lại các mối đe dọa mới nổi, bao gồm cả khả năng khai thác các lỗ hổng zero-day.

SonicWall khuyến nghị mạnh mẽ việc thực hiện ngay lập tức một số biện pháp giảm thiểu. Khuyến nghị chính bao gồm vô hiệu hóa dịch vụ SSLVPN nếu khả thi về mặt vận hành. Tuy nhiên, công ty thừa nhận điều này có thể không thực tế đối với tất cả các tổ chức.

Các biện pháp bảo vệ thay thế bao gồm hạn chế kết nối SSLVPN chỉ với các địa chỉ IP nguồn đáng tin cậy và kích hoạt các dịch vụ bảo mật toàn diện như Botnet Protection và Geo-IP Filtering.

Các khuyến nghị bổ sung nhấn mạnh việc thực thi xác thực đa yếu tố (MFA) cho tất cả các truy cập từ xa. Mặc dù vậy, các báo cáo cho thấy MFA một mình có thể không cung cấp đủ sự bảo vệ chống lại mối đe dọa hiện tại, đặc biệt nếu đó là một cuộc tấn công zero-day tinh vi.

Các tổ chức cũng nên xóa các tài khoản cục bộ không sử dụng, đặc biệt là những tài khoản có quyền truy cập SSLVPN. Đồng thời, cần triển khai các thực hành vệ sinh mật khẩu mạnh mẽ trên tất cả các tài khoản người dùng.

Sự cố bảo mật này làm nổi bật các mối đe dọa dai dẳng đối với hạ tầng mạng và tầm quan trọng sống còn của các biện pháp bảo mật chủ động. Các tổ chức sử dụng tường lửa SonicWall Gen 7 nên ngay lập tức triển khai các biện pháp giảm thiểu được khuyến nghị trong khi chờ đợi các cập nhật bản vá tiếp theo từ cuộc điều tra đang diễn ra. Tham khảo thông báo bảo mật chính thức của SonicWall tại đây.