-
09/04/2020
-
115
-
1.172 bài viết
Lỗ hổng CVE-2024-40766 trên SonicWall VPN bị nhóm Akira khai thác trên diện rộng
Một chiến dịch tấn công có tổ chức do nhóm tin tặc Akira điều hành đang nhắm vào các thiết bị SonicWall SSL VPN trên toàn cầu kể từ tháng 7 năm 2025. Nhóm này lợi dụng lỗ hổng CVE-2024-40766, tồn tại hơn một năm trong hệ điều hành SonicWall SonicOS, để xâm nhập sâu vào hạ tầng mạng của nhiều doanh nghiệp thuộc nhiều lĩnh vực khác nhau. Dữ liệu điều tra cho thấy các cuộc tấn công được tiến hành có chủ đích, sử dụng chuỗi kỹ thuật tinh vi từ thu thập thông tin đăng nhập đến đánh cắp dữ liệu, phản ánh mức độ chuyên nghiệp và khả năng vận hành phức tạp của nhóm Akira.
Trọng tâm của chiến dịch nằm ở lỗ hổng CVE-2024-40766, thuộc nhóm lỗi kiểm soát truy cập không đúng trong hệ điều hành SonicWall SonicOS, ảnh hưởng đến các thiết bị thế hệ 5, 6 và 7 chạy phiên bản 7.0.1-5035 trở về trước. Dù đã được công bố và phát hành bản vá từ tháng 8 năm 2024, lỗ hổng này vẫn bị các nhóm liên kết với Akira khai thác trong mô hình mã độc dưới dạng dịch vụ. Việc tái sử dụng một điểm yếu cũ nhưng phổ biến trong hạ tầng VPN doanh nghiệp cho thấy sự linh hoạt và hiểu biết sâu của nhóm tấn công về môi trường mục tiêu, cũng như khả năng tận dụng triệt để những khoảng trống trong quản lý bản vá để mở rộng quy mô xâm nhập.
Ngày 20 tháng 8 năm 2025, hệ thống giám sát của công ty Darktrace phát hiện chuỗi hoạt động bất thường bắt nguồn từ các thiết bị SonicWall SSL VPN. Cuộc tấn công bắt đầu lúc 05 giờ 10 phút theo giờ quốc tế, với các bước trinh sát được thực hiện có chủ đích nhằm thu thập thông tin về cấu trúc hạ tầng mạng. Tin tặc gửi hàng loạt yêu cầu đến dịch vụ lập bản đồ điểm cuối, đồng thời sử dụng công cụ quét mạng để xác định các máy chủ và dịch vụ đang hoạt động. Sau khi nắm được bản đồ hệ thống, chúng tiếp tục di chuyển ngang bằng cách lợi dụng dịch vụ quản lý từ xa của Windows, thiết lập quyền truy cập vào các máy chủ quản lý tên miền và mở rộng khả năng kiểm soát trong toàn bộ mạng nội bộ.
Điểm đáng chú ý là kẻ tấn công đã sử dụng kỹ thuật chiếm đoạt thông tin đăng nhập tiên tiến gọi là “UnPAC the hash”, khai thác cơ chế xác thực của Kerberos để trích xuất băm NTLM từ các yêu cầu truy cập dịch vụ, rồi tái sử dụng những mã băm đó để di chuyển và leo thang quyền trong mạng. Phân tích cho thấy ít nhất 15 bộ thông tin đăng nhập bị đánh cắp, tạo điều kiện cho việc chiếm quyền kiểm soát sâu và triển khai hạ tầng chỉ huy điều khiển. Sau khi thiết lập C2, kẻ tấn công tải về mã độc và thực hiện việc truyền dữ liệu đánh cắp ra ngoài.
Các dấu vết điều tra cho thấy chuỗi tấn công tinh vi ở cả khâu ngụy trang và exfiltration. Kẻ tấn công triển khai nhịp thực thi được đóng gói dưới tên công cụ VMware hợp pháp và đưa tệp vào hệ thống bằng wget hoặc qua quản lý từ xa, sau đó chạy trên host mục tiêu bao gồm cả ESXi để mở quyền truy cập, thu thập thông tin nhạy cảm và gom dữ liệu thành các khối để xuất ngoại.
Dữ liệu được truyền ra ngoài qua kênh mã hóa như SSH hoặc HTTPS tới hạ tầng chỉ huy điều khiển và phân tích mạng cho thấy phiên truyền có dung lượng lớn cùng kết nối bất thường từ host nội bộ đến các địa chỉ bên ngoài như 137.184.243.69 và 66.165.243.39, đồng thời mẫu TLS và phiên SSH không khớp với hành vi bình thường của hệ thống nên đây là các chỉ báo mạng quan trọng cho việc phát hiện hoạt động truyền dữ liệu bất thường ra bên ngoài. Ở góc độ giám sát và điều tra, các dấu vết kỹ thuật như tên tệp giả mạo, lệnh wget, hash của tệp thực thi, các phiên SSH dung lượng lớn, bản ghi PCAP có kết nối bất thường và địa chỉ máy chủ điều khiển C2 cần được đưa vào quy tắc phát hiện, phân tích tương quan nhật ký và quy trình điều tra số. Cách này giúp nhanh chóng nhận diện, cô lập máy bị xâm nhập và chặn luồng dữ liệu ra ngoài.
Chỉ ít lâu sau sự cố đầu tiên, các nhà nghiên cứu tiếp tục phát hiện thêm ba vụ việc khác có cùng đặc điểm tấn công, đều nhắm vào hạ tầng VPN SonicWall tại Mỹ. Việc lỗ hổng CVE-2024-40766 vẫn bị khai thác dù đã có bản vá hơn một năm phản ánh rõ lỗ hổng trong công tác quản lý vá lỗi của doanh nghiệp. Trong bối cảnh VPN là cửa ngõ quan trọng cho kết nối từ xa vào hệ thống nội bộ, việc trì hoãn cập nhật hay bỏ qua các bản vá bảo mật không chỉ tạo điều kiện cho mã độc xâm nhập mà còn đe dọa toàn bộ chuỗi phòng thủ, khiến tổ chức đối mặt nguy cơ mất dữ liệu, gián đoạn vận hành và tổn hại uy tín lâu dài.
Trọng tâm của chiến dịch nằm ở lỗ hổng CVE-2024-40766, thuộc nhóm lỗi kiểm soát truy cập không đúng trong hệ điều hành SonicWall SonicOS, ảnh hưởng đến các thiết bị thế hệ 5, 6 và 7 chạy phiên bản 7.0.1-5035 trở về trước. Dù đã được công bố và phát hành bản vá từ tháng 8 năm 2024, lỗ hổng này vẫn bị các nhóm liên kết với Akira khai thác trong mô hình mã độc dưới dạng dịch vụ. Việc tái sử dụng một điểm yếu cũ nhưng phổ biến trong hạ tầng VPN doanh nghiệp cho thấy sự linh hoạt và hiểu biết sâu của nhóm tấn công về môi trường mục tiêu, cũng như khả năng tận dụng triệt để những khoảng trống trong quản lý bản vá để mở rộng quy mô xâm nhập.
Ngày 20 tháng 8 năm 2025, hệ thống giám sát của công ty Darktrace phát hiện chuỗi hoạt động bất thường bắt nguồn từ các thiết bị SonicWall SSL VPN. Cuộc tấn công bắt đầu lúc 05 giờ 10 phút theo giờ quốc tế, với các bước trinh sát được thực hiện có chủ đích nhằm thu thập thông tin về cấu trúc hạ tầng mạng. Tin tặc gửi hàng loạt yêu cầu đến dịch vụ lập bản đồ điểm cuối, đồng thời sử dụng công cụ quét mạng để xác định các máy chủ và dịch vụ đang hoạt động. Sau khi nắm được bản đồ hệ thống, chúng tiếp tục di chuyển ngang bằng cách lợi dụng dịch vụ quản lý từ xa của Windows, thiết lập quyền truy cập vào các máy chủ quản lý tên miền và mở rộng khả năng kiểm soát trong toàn bộ mạng nội bộ.
Điểm đáng chú ý là kẻ tấn công đã sử dụng kỹ thuật chiếm đoạt thông tin đăng nhập tiên tiến gọi là “UnPAC the hash”, khai thác cơ chế xác thực của Kerberos để trích xuất băm NTLM từ các yêu cầu truy cập dịch vụ, rồi tái sử dụng những mã băm đó để di chuyển và leo thang quyền trong mạng. Phân tích cho thấy ít nhất 15 bộ thông tin đăng nhập bị đánh cắp, tạo điều kiện cho việc chiếm quyền kiểm soát sâu và triển khai hạ tầng chỉ huy điều khiển. Sau khi thiết lập C2, kẻ tấn công tải về mã độc và thực hiện việc truyền dữ liệu đánh cắp ra ngoài.
Các dấu vết điều tra cho thấy chuỗi tấn công tinh vi ở cả khâu ngụy trang và exfiltration. Kẻ tấn công triển khai nhịp thực thi được đóng gói dưới tên công cụ VMware hợp pháp và đưa tệp vào hệ thống bằng wget hoặc qua quản lý từ xa, sau đó chạy trên host mục tiêu bao gồm cả ESXi để mở quyền truy cập, thu thập thông tin nhạy cảm và gom dữ liệu thành các khối để xuất ngoại.
Dữ liệu được truyền ra ngoài qua kênh mã hóa như SSH hoặc HTTPS tới hạ tầng chỉ huy điều khiển và phân tích mạng cho thấy phiên truyền có dung lượng lớn cùng kết nối bất thường từ host nội bộ đến các địa chỉ bên ngoài như 137.184.243.69 và 66.165.243.39, đồng thời mẫu TLS và phiên SSH không khớp với hành vi bình thường của hệ thống nên đây là các chỉ báo mạng quan trọng cho việc phát hiện hoạt động truyền dữ liệu bất thường ra bên ngoài. Ở góc độ giám sát và điều tra, các dấu vết kỹ thuật như tên tệp giả mạo, lệnh wget, hash của tệp thực thi, các phiên SSH dung lượng lớn, bản ghi PCAP có kết nối bất thường và địa chỉ máy chủ điều khiển C2 cần được đưa vào quy tắc phát hiện, phân tích tương quan nhật ký và quy trình điều tra số. Cách này giúp nhanh chóng nhận diện, cô lập máy bị xâm nhập và chặn luồng dữ liệu ra ngoài.
Chỉ ít lâu sau sự cố đầu tiên, các nhà nghiên cứu tiếp tục phát hiện thêm ba vụ việc khác có cùng đặc điểm tấn công, đều nhắm vào hạ tầng VPN SonicWall tại Mỹ. Việc lỗ hổng CVE-2024-40766 vẫn bị khai thác dù đã có bản vá hơn một năm phản ánh rõ lỗ hổng trong công tác quản lý vá lỗi của doanh nghiệp. Trong bối cảnh VPN là cửa ngõ quan trọng cho kết nối từ xa vào hệ thống nội bộ, việc trì hoãn cập nhật hay bỏ qua các bản vá bảo mật không chỉ tạo điều kiện cho mã độc xâm nhập mà còn đe dọa toàn bộ chuỗi phòng thủ, khiến tổ chức đối mặt nguy cơ mất dữ liệu, gián đoạn vận hành và tổn hại uy tín lâu dài.
Theo Cyber Press