Securitybedrijf Arctic Wolf waarschuwt voor ransomware-aanvallen via SonicWall-firewalls, waarbij mogelijk misbruik van een zerodaylek wordt gemaakt. Het bedrijf zegt dat het eind juli meerdere ransomware-aanvallen heeft waargenomen waarbij de aanval begon via een gecompromitteerde SonicWall SSL VPN. Volgens Arctic Wolf is nog niet volledig uitgesloten dat de aanvallers via een bruteforce-, dictionary- of credential stuffing-aanval binnenkwamen, maar wijst al het beschikbare bewijs op een zerodaylek.

Bij de waargenomen aanvallen werden namelijk verschillende SonicWall-firewalls gecompromitteerd die op dat moment volledig up-to-date waren en voor accounts van multifactorauthenticatie (MFA) gebruikmaakten. "Gegeven de grote kans van een zerodaylek, moeten organisaties overwegen de SonicWall SSL VPN-server uit te schakelen totdat een patch beschikbaar is en uitgerold", aldus het advies van Arctic Wolf.

Eerder dit jaar waarschuwde SonicWall nog voor actief misbruik van een bekende kwetsbaarheid in de firewalls die het biedt. Een aantal jaren geleden werd een zerodaylek in de SonicWall SMA 100 nog gebruikt voor de verspreiding van ransomware. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security zijn in het verleden zeker negen SonicWall-kwetsbaarheden ingezet bij ransomware-aanvallen.