A támadók kihasználnak egy a SonicWall tűzfalakat érintő Authentication Bypass sebezhetőséget nem sokkal azután, hogy a sérülékenység proof-of-concept (röviden: PoC) exploit kódja nyilvánosságra került. Ez a CVE-2024-53704 néven nyomon követett kritikus súlyosságú sebezhetőség az SSLVPN hitelesítési mechanizmusában található, és a SonicOS 7.1.x (7.1.1-7058 verzióig), a 7.1.2-7019 és a 8.0.0-8035 verzióit érinti, amelyeket a GEN 6 és GEN 7 tűzfalak, valamint a SOHO sorozat több modellje használ. A sikeres kihasználás lehetővé teszi a távoli támadók számára, hogy hitelesítés nélkül eltérítsék az aktív SSL VPN munkameneteket, ami által jogosulatlanul hozzáférhetnek az áldozatok hálózataihoz.
A SonicWall e-mailben – még mielőtt nyilvánosságra hozta volna a sebezhetőséget és kiadta volna a biztonsági frissítéseket- arra hívta fel az ügyfelei figyelmét, hogy haladéktalanul frissítsék tűzfalaik SonicOS firmware-jét, hogy megakadályozzák a sebezhetőség kihasználását. Amennyiben ez nem lehetséges, akkor csak megbízható forrásokra korlátozzák a hozzáférést, vagy teljesen tiltsák le az internetkapcsolatot.
Az Arctic Wolf kiberbiztonsági vállalat állítása szerint „röviddel a PoC exploit nyilvánosságra hozatala után” már észleltek olyan támadási kísérleteket, amelyek ezt a sérülékenységet használják ki, megerősítve ezzel a SonicWall aggodalmait a sebezhetőség növekvő kihasználásának kockázatával kapcsolatban.
A Bishop Fox kiberbiztonsági kutatói február 10-én, nagyjából egy hónappal a biztonsági patch megjelenése után tették közzé a PoC exploitot. Viszont a kutatók február 7-i vizsgálatai alapján még körülbelül 4500 olyan SonicWall SSL VPN szerver volt online elérhető, amelyet nem frissítettek.
Korábban az Akira és a Fog ransomware csoportok is célba vették a SonicWall tűzfalakat. Az Arctic Wolf októberben arra figyelmeztetett, hogy legalább 30 behatolás kezdődött a SonicWall VPN fiókokon keresztüli történő távoli hálózati hozzáféréssel.
A SonicWall figyelmeztette az ügyfeleket, hogy a SonicOS SSLVPN Authentication Bypass sebezhetőségének (CVE-2024-53704) PoC exploit kódja már nyilvánosan elérhető. Mivel ez jelentős mértékben növeli a sérülékenység kihasználásának kockázatát, a felhasználóknak a biztonság növelése érdekében javasolt minél hamarabb frissíteni a 7.1.x és 8.0.0 verziószámú tűzfalaik firmware-jeit, amennyiben ez nem lehetséges, az SSLVPN letiltása javasolt.
