องค์กรที่ใช้ไฟร์วอลล์ของ SonicWall ตกเป็นเป้าของแรนซัมแวร์ Akira พบความพยายามเจาะ SSL VPN
ตั้งแต่กลางเดือนกรกฎาคม 2568 เป็นต้นมา นักวิจัยด้านความปลอดภัยไซเบอร์จาก Arctic Wolf Labs รายงานว่าได้ตรวจพบความเคลื่อนไหวของการโจมตีไซเบอร์อย่างผิดปกติ ซึ่งพุ่งเป้าไปยังอุปกรณ์ SonicWall Firewall ขององค์กรทั่วโลก โดยเฉพาะช่องทางการเข้าถึงผ่าน SSL VPN ที่มักใช้ในระบบทำงานระยะไกล การพยายามล็อกอินเข้าสู่ระบบขององค์กรผ่าน VPN ถูกตรวจจับได้นับพันครั้งในช่วงเวลาเพียงไม่กี่วัน โดยส่วนใหญ่เป็นความพยายามเชื่อมต่อจากเซิร์ฟเวอร์ VPS ซึ่งต่างจากการเชื่อมต่อแบบปกติจาก ISP ในประเทศ เป็นการบ่งชี้ชัดเจนว่ามีความพยายามเจาะระบบจากภายนอกด้วยความตั้งใจสูง
อาจมีช่องโหว่ Zero-Day ใหม่
จุดอ่อนสำคัญที่ถูกใช้เป็นช่องทางโจมตีในครั้งนี้ คือบัญชีผู้ใช้ที่ตั้งค่าไว้ในตัวอุปกรณ์ SonicWall เอง ไม่ได้ผูกกับระบบ Active Directory และไม่มีการเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยหรือ MFA ทำให้แฮกเกอร์สามารถเข้าสู่ระบบได้โดยอาศัยรหัสผ่านที่อาจหลุดจากเหตุการณ์ข้อมูลรั่วก่อนหน้า หรือใช้วิธี brute-force แบบสุ่มเดารหัสผ่าน การตรวจสอบยังพบว่าอุปกรณ์ที่ถูกโจมตีบางส่วนใช้เฟิร์มแวร์เวอร์ชันล่าสุดแล้ว แสดงให้เห็นถึงความเป็นไปได้ในการมีช่องโหว่ที่ยังไม่เปิดเผยต่อสาธารณะหรือ zero-day ที่ผู้ผลิตยังไม่รับรองอย่างเป็นทางการ
แม้ว่ายังไม่มีการประกาศหมายเลขช่องโหว่ (CVE) อย่างเป็นทางการ แต่ผู้เชี่ยวชาญหลายฝ่ายเชื่อว่าการโจมตีในลักษณะนี้อาจเป็นผลจากการค้นพบช่องทางเข้าระบบใหม่โดยกลุ่มแฮกเกอร์ ซึ่งในกรณีนี้คือกลุ่ม Akira ransomware ที่กำลังระบาดหนักในช่วงไม่กี่เดือนที่ผ่านมา
การโจมตีที่เกิดขึ้นในรอบนี้ไม่ได้จำกัดเฉพาะกลุ่มอุปกรณ์ที่ไม่ได้รับการอัปเดต แต่รวมถึงอุปกรณ์รุ่นใหม่ที่ใช้ระบบปฏิบัติการ SonicOS รุ่น 7.x ด้วย นั่นหมายความว่าองค์กรที่ยังคงเปิด SSL VPN ให้ใช้งานได้ โดยเฉพาะหากไม่มีการเปิดใช้ MFA หรือไม่มีมาตรการควบคุมการเข้าถึงอย่างเข้มงวด กำลังตกอยู่ในความเสี่ยงอย่างมีนัยสำคัญ ซึ่งส่งผลต่อทั้งภาครัฐ หน่วยงานท้องถิ่น โรงพยาบาล สถานศึกษา ไปจนถึงธุรกิจเอกชนขนาดกลางและขนาดเล็กที่อาจไม่มีทีมรักษาความปลอดภัยไอทีโดยเฉพาะ
หลายหน่วยงานที่ตรวจสอบเหตุการณ์นี้อย่างใกล้ชิด เช่น Arctic Wolf, Critical Start และ Palo Alto Networks ต่างแนะนำให้องค์กรพิจารณาปิดใช้งาน SSL VPN ชั่วคราวหากไม่จำเป็น และควรดำเนินการอัปเดตเฟิร์มแวร์ของ SonicWall ทันที พร้อมเปิดใช้งาน MFA สำหรับบัญชีผู้ใช้ VPN ทุกบัญชี นอกจากนี้ควรตรวจสอบ log การเข้าใช้งานอย่างละเอียด โดยเฉพาะพฤติกรรมการล็อกอินจาก IP ต่างประเทศหรือจาก VPS ซึ่งมักเป็นเบาะแสของการบุกรุกโดยไม่ได้รับอนุญาต