Tin tức bảo mật ghi nhận một đợt tăng mạnh hoạt động quét Internet nhắm vào giao diện quản trị của tường lửa SonicWall, làm dấy lên lo ngại về giai đoạn trinh sát trước công bố liên quan đến một lỗ hổng CVE mới hoặc sắp bị khai thác.
Gia tăng hoạt động quét SonicWall SonicOS
Theo dữ liệu từ GreyNoise, hoạt động quét nhắm vào các API quản trị của SonicWall SonicOS tăng đáng kể trong khoảng từ ngày 9/5/2026 đến 18/5/2026. Đỉnh đáng chú ý nhất được ghi nhận vào ngày 12/5, với khoảng 597.000 phiên trong một ngày.
Mức tăng này tương đương khoảng 46 lần so với mức trung bình hằng ngày trong 30 ngày trước đó. Đây cũng là mức lưu lượng cao nhất trong vòng 90 ngày đối với thẻ theo dõi SonicWall SonicOS API Scanner, cho thấy một đợt trinh sát quy mô lớn nhắm vào các giao diện tường lửa đang phơi lộ ra Internet.
Tham khảo nguồn theo dõi kỹ thuật: GreyNoise analysis và cơ sở dữ liệu lỗ hổng của NVD: NVD.
Liên hệ với các đợt quét trước đó và lỗ hổng CVE
GreyNoise cho biết một đợt tăng quét tương tự trước đây đã xuất hiện trước thời điểm công bố CVE-2026-0400, một lỗ hổng SonicWall được tiết lộ vào ngày 24/2/2026. Các đợt tăng được ghi nhận vào ngày 18/1, 30/1 và 14/2, lần lượt xảy ra trước khi lỗ hổng được công bố 37, 25 và 10 ngày.
Chuỗi sự kiện này không xác nhận sự tồn tại của một lỗ hổng zero-day mới, nhưng cho thấy một mô hình lặp lại: lưu lượng thăm dò thường tăng trước thời điểm công bố công khai hoặc trước các chiến dịch khai thác zero-day.
Trong bối cảnh cảnh báo CVE, tín hiệu hiện tại nên được hiểu là chỉ báo sớm của hoạt động trinh sát, không phải dự báo chắc chắn về việc có lỗ hổng mới. Tuy vậy, các tổ chức đang vận hành SonicWall vẫn cần xem đây là một nguy cơ bảo mật cần được theo dõi sát.
Phân tích mẫu lưu lượng quét và dấu hiệu hạ tầng
Phân tích traffic quét từ GreyNoise cho thấy đặc điểm công cụ và hạ tầng có tính nhất quán. Dù chưa công bố đầy đủ IOC chi tiết, mẫu hành vi cho thấy hoạt động được tổ chức, lặp lại và nhắm trực tiếp vào các endpoint quản trị của SonicWall.
Với các hệ thống có giao diện quản trị tiếp xúc Internet, đặc biệt là các API quản lý SonicOS, đây là giai đoạn mà phát hiện xâm nhập và giám sát bất thường cần được tăng cường. Các thiết bị phơi lộ bề mặt quản trị thường là mục tiêu đầu tiên trong chuỗi mối đe dọa mạng trước khi xuất hiện nỗ lực remote code execution hoặc chiếm quyền truy cập quản trị.
Biện pháp giảm thiểu cho hệ thống SonicWall
Security teams đang vận hành SonicWall nên áp dụng ngay các bước giảm rủi ro để chuẩn bị cho khả năng xuất hiện exploit hoặc chiến dịch xâm nhập mạng tiếp theo. Các hành động dưới đây tập trung vào giảm phơi lộ, tăng khả năng quan sát và sẵn sàng cho cập nhật bản vá.
Hành động tức thời
- Giới hạn truy cập vào giao diện quản trị chỉ từ các địa chỉ IP tin cậy.
- Rà soát cấu hình firewall, đặc biệt là các cổng và dịch vụ quản trị đang mở ra Internet.
- Kiểm tra nhật ký xác thực, truy cập API và các phiên đăng nhập bất thường.
- Xác minh phiên bản SonicOS và trạng thái bản vá bảo mật hiện tại.
- Vô hiệu hóa các dịch vụ quản trị không cần thiết trên giao diện công khai.
Giám sát ngắn hạn
- Theo dõi tăng đột biến số lượng request vào các endpoint quản trị SonicWall.
- Ghi nhận nguồn IP quét, tần suất truy cập và mẫu user-agent nếu có.
- Tích hợp cảnh báo vào SIEM hoặc IDS để phát hiện hành vi quét lặp lại.
- Đối chiếu lưu lượng với các mốc thời gian có thay đổi cấu hình hoặc nâng cấp hệ thống.
Ưu tiên an toàn thông tin và chuẩn bị vá lỗi
Mặc dù chưa có xác nhận về một lỗ hổng CVE mới, quy mô và mô hình của hoạt động quét hiện tại đủ để coi là tín hiệu sớm cho rủi ro tăng cao đối với hạ tầng SonicWall. Trong các tình huống như vậy, việc duy trì an toàn thông tin phụ thuộc vào ba yếu tố: giảm bề mặt tấn công, theo dõi liên tục và sẵn sàng triển khai update vá lỗi khi nhà cung cấp công bố khuyến cáo.
Các đội vận hành nên kiểm tra lại kế hoạch phản ứng sự cố cho các hệ thống biên, bảo đảm có khả năng cô lập nhanh các thiết bị bị nghi ngờ bị hệ thống bị xâm nhập, đồng thời chuẩn bị quy trình xác minh integrity của cấu hình và log.
Trong ngữ cảnh tin bảo mật mới nhất, tín hiệu trinh sát quy mô lớn thường là bước đầu của một chuỗi tấn công mạng nhắm vào thiết bị biên. Vì vậy, việc tăng cường kiểm soát truy cập, giám sát phiên quản trị và theo dõi các thay đổi bất thường trên SonicWall là ưu tiên cần thực hiện ngay.
Khung theo dõi kỹ thuật cần duy trì
Các tổ chức nên tiếp tục theo dõi những yếu tố sau để phát hiện sớm cảnh báo CVE hoặc dấu hiệu khai thác mới:
- Lưu lượng quét vào cổng quản trị SonicWall.
- Thay đổi bất thường trong tần suất xác thực và lỗi đăng nhập.
- Các endpoint API quản trị bị truy cập trái phép hoặc liên tục.
- Xu hướng xuất hiện exploit công khai trên GitHub hoặc trong advisory của nhà cung cấp.
- Thông tin vá lỗi từ NVD và các nguồn threat intelligence.
Đối với môi trường phơi lộ Internet, việc chuẩn hóa kiểm soát truy cập và cập nhật bản vá là biện pháp cốt lõi để giảm rủi ro an toàn thông tin. Nếu xuất hiện khuyến cáo mới liên quan tới SonicOS, cần ưu tiên đánh giá ảnh hưởng hệ thống và triển khai bản vá bảo mật trong thời gian sớm nhất.
Trong các đợt gia tăng quét tương tự, cảnh báo sớm từ nguồn threat intelligence có giá trị cao vì nó giúp đội vận hành chủ động tăng cường giám sát trước khi một lỗ hổng zero-day hoặc chiến dịch khai thác được công bố rộng rãi.
