SonicWall SSL VPN Flaw and Misconfigurations Actively Exploited by Akira Ransomware Hackers

1 minute de lecture

Mis à jour : September 11, 2025

Exploitation des vulnérabilités SonicWall par le groupe Akira

Le groupe de ransomware Akira utilise activement les appareils SonicWall pour obtenir un accès initial aux réseaux. Cette campagne d’exploitation vise spécifiquement la fonctionnalité SSL VPN de ces dispositifs.

Points Clés :

Une augmentation des intrusions via les appliances SonicWall a été observée suite à une reprise de l’activité du groupe Akira.
Les attaquants exploitent une combinaison de failles de sécurité et de mauvaises configurations.
Le groupe Akira suit un schéma d’attaque classique : accès initial, escalade de privilèges, vol de données, suppression des sauvegardes, puis chiffrement des données.
Akira est un acteur prolifique dans le paysage du ransomware, ciblant particulièrement les secteurs industriel, manufacturier et des transports.

Vulnérabilités :

CVE-2024-40766 (Score CVSS: 9.3) : Cette faille, âgée d’un an, permet aux mots de passe locaux des utilisateurs d’être conservés lors d’une migration sans réinitialisation.
Mauvaise configuration des LDAP SSL VPN Default User Groups : Si ce paramètre n’est pas correctement configuré, il peut automatiquement ajouter tous les utilisateurs LDAP authentifiés à un groupe local par défaut, indépendamment de leur appartenance dans Active Directory. Cela peut accorder un accès non désiré à des services sensibles comme le SSL VPN, contournant les contrôles d’accès basés sur les groupes Active Directory.
Accès public au Virtual Office Portal : Dans certaines configurations par défaut, ce portail peut être accessible publiquement. Cela permet aux attaquants de configurer l’authentification multifacteur (MFA/TOTP) avec des comptes valides, s’ils ont préalablement obtenu des identifiants.

Recommandations :

Activer le filtrage Botnet pour bloquer les acteurs malveillants connus.
S’assurer que les politiques de verrouillage de compte sont activées.
Examiner attentivement la configuration des groupes d’utilisateurs par défaut LDAP SSL VPN et s’assurer qu’ils n’accordent pas d’autorisations étendues.
Faire pivoter les mots de passe de tous les comptes locaux SonicWall.
Supprimer les comptes locaux SonicWall inutilisés ou inactifs.
Vérifier la bonne configuration des politiques MFA/TOTP.
Restreindre l’accès au Virtual Office Portal au réseau interne.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

SonicWall SSL VPN Flaw and Misconfigurations Actively Exploited by Akira Ransomware Hackers

Exploitation des vulnérabilités SonicWall par le groupe Akira

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast