Tấn công mạng SonicWall: Mối đe dọa nghiêm trọng sắp xảy ra

Một chiến dịch tấn công mạng trinh sát quy mô lớn đang nhắm mục tiêu tích cực vào các tường lửa SonicWall trên toàn cầu. Các tác nhân đe dọa sử dụng hơn 4.000 địa chỉ IP duy nhất để lập bản đồ các thiết bị dễ bị tổn thương trước khi thực hiện các nỗ lực khai thác tiềm năng.

Tổng Quan Chiến Dịch Trinh Sát SonicWall

Từ ngày 22 đến 25 tháng 2 năm 2026, các tác nhân đe dọa đã tạo ra 84.142 phiên quét nhắm vào cơ sở hạ tầng SonicWall SonicOS. Các phiên quét này có nguồn gốc từ 4.305 địa chỉ IP riêng biệt trên 20 hệ thống tự trị (AS).

Quy mô và sự phối hợp của hoạt động này cho thấy một làn sóng khai thác lớn có thể sắp xảy ra. Điều này đặt hàng ngàn tổ chức vào tình trạng rủi ro nghiêm trọng.

VPN SSL của SonicWall từ lâu đã là một trong những vector truy cập ban đầu bị nhắm mục tiêu nhiều nhất bởi các nhóm ransomware.

Mục Tiêu Chính và Phương Pháp Lập Danh Sách

Trọng tâm chính của chiến dịch là điểm cuối REST API của SonicOS. Điểm cuối này kiểm tra xem SSL VPN có đang hoạt động trên thiết bị hay không. Đây là một bước tiên quyết mà những kẻ tấn công thực hiện trước khi hướng các thử nghiệm thông tin xác thực hung hãn hơn vào các mục tiêu đã được xác nhận.

Chín mươi hai phần trăm của tất cả các phiên được ghi nhận đều nhắm vào một đường dẫn API duy nhất này. Điều này xác nhận mục tiêu là xây dựng danh sách mục tiêu một cách có hệ thống, chứ không phải khai thác ngay lập tức.

Phát Hiện và Theo Dõi Chiến Dịch

Các nhà nghiên cứu của GreyNoise đã xác định và theo dõi chặt chẽ chiến dịch này, lưu ý rằng nó hoạt động thông qua ba cụm cơ sở hạ tầng khác biệt về mặt vận hành, phối hợp với nhau trong khoảng thời gian bốn ngày. Thông tin chi tiết có thể được tìm thấy tại GreyNoise Blog.

Hoạt động này phản ánh chặt chẽ một chiến dịch mà GreyNoise đã ghi lại vào tháng 12 năm 2025. Khi đó, những kẻ tấn công đã chạy chín triệu phiên quét nhắm vào cả cơ sở hạ tầng VPN của Palo Alto và SonicWall từ hơn 7.000 địa chỉ IP, chia sẻ dấu vân tay máy khách giống hệt nhau trên cả hai nhà cung cấp.

Chiến dịch tháng 2 năm 2026 đại diện cho sự tiếp nối rõ ràng và leo thang của mô hình tấn công trước đó.

Quy Mô Tấn Công và Mối Đe Dọa Mạng Tiềm Tàng

Điều khiến chiến dịch này đặc biệt đáng báo động là quy mô bề mặt tấn công bị phơi bày. Hơn 430.000 tường lửa SonicWall có thể truy cập trên internet công cộng.

Trong số đó, hơn 25.000 thiết bị SSL VPN đang mang các lỗ hổng nghiêm trọng chưa được vá lỗi và khoảng 20.000 thiết bị đang chạy firmware không còn được nhà cung cấp hỗ trợ.

Liên Quan Đến Mã Độc Tống Tiền (Ransomware)

Kể từ tháng 3 năm 2023, nhóm ransomware Akira đã xâm phạm ít nhất 250 tổ chức thông qua quyền truy cập VPN SonicWall, tạo ra ước tính 244 triệu USD tiền chuộc.

Ransomware Fog cũng chiếm một phần đáng kể khác, với một số vụ xâm nhập được ghi nhận đã đạt được mã hóa mạng hoàn toàn trong vòng chưa đầy bốn giờ.

Năm trong số bảy CVE của SonicWall liên quan đến bề mặt tấn công này xuất hiện trong danh mục Known Exploited Vulnerabilities (KEV) của CISA. Trong đó, bốn CVE có tài liệu về việc sử dụng ransomware đã được ghi nhận.

Một cụm sáu địa chỉ IP đặt tại Amsterdam đồng thời quét cả thiết bị SonicWall và Cisco ASA. Điều này chỉ ra một hoạt động lập bản đồ đa nhà cung cấp rộng lớn hơn, mở rộng ra ngoài một dòng sản phẩm duy nhất.

Phân Tích Kỹ Thuật: Lỗ Hổng CVE và Phương Thức Khai Thác Tiềm Năng

Một trong những khía cạnh kỹ thuật quan trọng nhất của chiến dịch này là việc cố ý sử dụng dịch vụ proxy thương mại để xử lý phần lớn các phiên quét.

Khoảng 32% tổng khối lượng chiến dịch (xấp xỉ 27.119 phiên) đến từ 4.102 địa chỉ IP thoát xoay vòng, được định tuyến qua cơ sở hạ tầng proxy được lưu trữ tại Canada.

Cơ Chế Che Giấu Nguồn Gốc Tấn Công

Dịch vụ proxy này quảng cáo cung cấp quyền truy cập vào hơn 100 triệu địa chỉ IP trên 150 quốc gia. Tuy nhiên, trong hoạt động này, nó hoạt động như một lớp ẩn danh để che giấu nguồn gốc thực sự của lưu lượng quét.

Việc sử dụng proxy được thiết kế rất tỉ mỉ. Các phiên quét được phân tán sao cho mỗi IP thoát chỉ yêu cầu trung bình 6,6 yêu cầu. Điều này giúp chúng nằm dưới ngưỡng kích hoạt giới hạn tốc độ (rate-limiting) hoặc chặn dựa trên danh tiếng.

Phương pháp này khiến các danh sách chặn tĩnh truyền thống gần như vô dụng, vì cơ sở hạ tầng xoay vòng qua hàng ngàn địa chỉ trong một cửa sổ quét duy nhất.

Nền tảng quản lý của dịch vụ proxy đã ngoại tuyến kể từ tháng 12 năm 2025. Điều này khiến các nút thoát của nó chạy mà không có giám sát lạm dụng trong ba tháng trước khi chiến dịch này bắt đầu.

Phân Tích Dấu Vân Tay (Fingerprint Analysis)

Phân tích dấu vân tay cho thấy gần 70% tất cả các phiên chia sẻ một chữ ký HTTP – một yêu cầu GET qua HTTP/1.0 kết hợp với user agent Chrome 119. Đây là một sự kết hợp mà các trình duyệt Chrome hợp pháp không bao giờ sử dụng, khiến nó trở thành một dấu hiệu đáng tin cậy của các công cụ quét tự động.

GET /api/v1/ssl-vpn/config HTTP/1.0User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36Host: target.sonicwall.comConnection: close

Chỉ Số Nhận Dạng Hạt Động (IoA)

Mặc dù không có IOC cố định để chặn, các hoạt động của chiến dịch này cung cấp các Chỉ Số Nhận Dạng Hạt Động (Indicators of Activity – IoA) quan trọng:

• Lưu lượng quét: 84.142 phiên quét từ 4.305 địa chỉ IP riêng biệt.
• Đích API: Nhắm mục tiêu vào điểm cuối REST API của SonicOS để kiểm tra trạng thái SSL VPN.
• Dấu vân tay HTTP:
  • Yêu cầu HTTP/1.0.
  • User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
  • Sự kết hợp HTTP/1.0 và Chrome 119 U/A.
• Hành vi Proxy:
  • Sử dụng các dịch vụ proxy thương mại với các địa chỉ IP xoay vòng.
  • Trung bình 6.6 yêu cầu/IP để tránh bị phát hiện.

Biện Pháp Phòng Ngừa và An Ninh Mạng Khuyến Nghị

Để bảo vệ hệ thống khỏi chiến dịch trinh sát và tấn công mạng tiềm tàng này, các tổ chức đang sử dụng thiết bị SonicWall cần thực hiện ngay các biện pháp sau:

• Cập nhật bản vá bảo mật: Ngay lập tức vá lỗi CVE-2024-53704 (CVSS 9.8, CISA KEV).
• Thực thi Xác thực Đa Yếu Tố (MFA): Bắt buộc MFA cho tất cả người dùng SSL VPN.
• Hạn chế truy cập giao diện quản lý: Chỉ cho phép truy cập từ các dải IP đáng tin cậy.
• Đặt lại mật khẩu: Đặt lại tất cả mật khẩu người dùng cục bộ, đặc biệt là những mật khẩu được chuyển từ các phiên bản firmware cũ hơn.
• Giám sát hoạt động bất thường: Theo dõi các yêu cầu HTTP/1.0 với user agent của trình duyệt hiện đại làm chỉ số nhận dạng hoạt động quét.
• Ngừng sử dụng thiết bị End-of-Life: Ngừng hoạt động các thiết bị SRA End-of-Life không còn bản vá khả dụng cho CVE-2021-20028 và CVE-2019-7481.