كشفت تقارير أمنية حديثة عن حملة استطلاع واسعة النطاق تستهدف جدران الحماية من نوع SonicWall، حيث يستخدم المهاجمون أكثر من 4,000 عنوان IP فريد لتحديد الأجهزة الضعيفة ومن ثم استغلالها. تشير هذه الأنشطة المنظمة إلى اقتراب موجة استغلال محتملة تعرض آلاف المؤسسات لخطر كبير.
وفقاً لباحثين في مجال الأمن السيبراني، تولدت حملة الاستطلاع بين 22 و 25 فبراير 2026، حيث قام الجهات الفاعلة في مجال التهديد بتنفيذ 84,142 جلسة مسح ضد البنية التحتية لـ SonicWall SonicOS. انطلقت هذه الجلسات من 4,305 عنوان IP مميز موزعة عبر 20 نظامًا مستقلاً.
حملة استطلاع واسعة النطاق تستهدف جدران حماية SonicWall
تُعد هذه الحملة بمثابة استمرار وتصعيد لأنماط مشابهة تم رصدها سابقًا، حيث يعتمد المهاجمون على استغلال ثغرات محددة في أجهزة SonicWall SSL VPN، والتي لطالما كانت هدفاً رئيسياً لمجموعات برامج الفدية. تركز الحملة بشكل أساسي على نقطة النهاية لواجهة برمجة تطبيقات REST الخاصة بـ SonicOS، والتي تتحقق من تفعيل SSL VPN على الجهاز.
ووفقًا لتقرير صادر عن باحثين في GreyNoise، فإن 92% من إجمالي الجلسات المسجلة استهدفت هذا المسار المحدد لواجهة برمجة التطبيقات، مما يؤكد أن الهدف الأساسي هو بناء قائمة مستهدفة بشكل منهجي بدلاً من الاستغلال المباشر. تعمل هذه الحملة عبر ثلاث مجموعات بنية تحتية متميزة تشغيليًا، تعمل بشكل متناسق خلال فترة الأيام الأربعة.
تكشف الثغرات الأمنية
تُظهر هذه الحملة مدى اتساع سطح الهجوم المكشوف. يوجد أكثر من 430,000 جدار حماية SonicWall يمكن الوصول إليها عبر الإنترنت العام، مع وجود ما يقرب من 25,000 جهاز SSL VPN يعاني من ثغرات حرجة غير مصححة، وحوالي 20,000 جهاز يعمل بإصدارات برامج ثابتة لم تعد مدعومة من قبل البائع. منذ مارس 2023، تمكنت مجموعة برامج الفدية Akira من اختراق ما لا يقل عن 250 منظمة عبر الوصول إلى SonicWall VPN، وحققت إيرادات تقديرية تبلغ 244 مليون دولار أمريكي.
تجدر الإشارة إلى أن خمسة من سبعة أكواد تعريف الثغرات المعروفة (CVEs) المتعلقة بـ SonicWall والتي لها صلة بسطح الهجوم هذا، تظهر في قائمة CISA للثغرات المعروفة والمستغلة، وحيث أن أربعة منها مرتبطة باستخدام موثق لبرامج الفدية. تشير بعض التقارير إلى أن مجموعة من ستة عناوين IP في أمستردام قامت بمسح أجهزة SonicWall وأجهزة Cisco ASA في وقت واحد، مما يشير إلى عملية مسح أوسع تشمل بائعين متعددين.
كيفية إخفاء المهاجمين لأنفسهم خلف خدمة بروكسي تجارية
من السمات التقنية الهامة لهذه الحملة الاستخدام المتعمد لخدمة بروكسي تجارية لمعالجة جزء كبير من عمليات المسح. حوالي 32% من إجمالي حجم الحملة، بما يعادل تقريباً 27,119 جلسة، جاءت من 4,102 عنوان IP خروج دوار تم توجيهها عبر بنية تحتية لخدمة البروكسي مقرها في كندا. تسمح هذه الخدمة بالوصول إلى أكثر من 100 مليون عنوان IP في 150 دولة، لكن في هذه العملية، عملت كطبقة إخفاء لحجب المصدر الحقيقي لحركة مرور المسح.
لقد تم تصميم استخدام البروكسي بدقة، حيث تم توزيع الجلسات بحيث بلغ متوسط طلبات كل عنوان IP للخروج 6.6 طلباً فقط، وهو ما يقل عن العتبات التي تؤدي إلى تشغيل تحديد المعدل أو الحظر القائم على السمعة. هذا يجعل قوائم الحظر الثابتة التقليدية غير فعالة تقريباً، نظراً لأن البنية التحتية تدور عبر الآلاف من العناوين داخل نافذة مسح واحدة. وقبل بدء هذه الحملة، كان نظام إدارة خدمة البروكسي offline منذ ديسمبر 2025، مما جعل عقد الخروج الخاصة به تعمل بدون مراقبة إساءة الاستخدام لمدة ثلاثة أشهر.
أظهر تحليل بصمة الإصبع أن ما يقرب من 70% من جميع الجلسات شاركت بصمة HTTP واحدة، وهي طلب GET عبر HTTP/1.0 مقترنًا بعامل مستخدم Chrome 119، وهو مزيج لا تستخدمه متصفحات Chrome الشرعية أبدًا، مما يجعله علامة موثوقة لأدوات المسح الآلية. تنصح المنظمات التي تشغل أجهزة SonicWall بتحديث CVE-2024-53704 (CVSS 9.8, CISA KEV) فورًا، وتطبيق المصادقة متعددة العوامل على جميع مستخدمي SSL VPN، وتقييد الوصول إلى واجهة الإدارة إلى نطاقات IP موثوق بها. بالإضافة إلى ذلك، يُنصح بإعادة تعيين جميع كلمات مرور المستخدمين المحليين، وخاصة تلك التي تم ترحيلها من إصدارات البرامج الثابتة القديمة، ومراقبة طلبات HTTP/1.0 مع عوامل مستخدم متصفح حديثة كمؤشرات لنشاط المسح، وإيقاف تشغيل أجهزة SRA التي وصلت إلى نهاية عمرها ولا تتوفر لها تصحيحات لـ CVE-2021-20028 و CVE-2019-7481.