SonicWall

ランサムウェアの関連会社は、SonicWall SonicOS ファイアウォール機器の重大なセキュリティ脆弱性を悪用して、被害者のネットワークに侵入します。

CVE-2024-40766として追跡されているこの不適切なアクセス制御の欠陥は、Gen 5、Gen 6、およびGen 7ファイアウォールに影響します。SonicWallは8月22日にこのパッチを適用し、ファイアウォールの管理アクセスインターフェースにのみ影響すると警告していた。

しかし、金曜日にソニックウォールは、セキュリティの脆弱性がファイアウォールのSSLVPN機能にも影響し、現在攻撃に悪用されていることを明らかにした。同社は顧客に対し、「影響を受ける製品にはできるだけ早くパッチを適用するように」と警告したが、悪用されている状況の詳細は明らかにしなかった。

同日、Arctic Wolfのセキュリティ研究者はこの攻撃をAkiraランサムウェアの関連会社と関連付け、SonicWallデバイスを標的にして標的のネットワークへの初期アクセスを獲得した。

「Arctic Wolfのシニア・スレット・インテリジェンス・リサーチャーであるStefan Hostetlerは、「いずれの例でも、侵害されたアカウントは、Microsoft Active Directoryのような集中型認証ソリューションに統合されているのではなく、デバイス自体にローカルに存在していました。

「さらに、MFAはすべての侵害されたアカウントに対して無効化されており、影響を受けたデバイス上のSonicOSファームウェアは、CVE-2024-40766に対して脆弱であることが知られているバージョン内であった。

サイバーセキュリティのRapid7も、最近のインシデントでSonicWall SSLVPNアカウントを標的とするランサムウェアグループを発見したが、”CVE-2024-40766とこれらのインシデントを結びつける証拠はまだ状況証拠である “と述べた。

Arctic WolfとRapid7は、SonicWallの警告を反映し、できるだけ早く最新のSonicOSファームウェアバージョンにアップグレードするよう管理者に促した。

連邦政府機関、9月30日までにパッチ適用を命令

CISAは月曜日、この重大なアクセス制御の欠陥を「既知の脆弱性」カタログに追加し、連邦政府機関に対し、拘束的運用指令(BOD)22-01の義務に従って、9月30日までに3週間以内にネットワーク上の脆弱なSonicWallファイアウォールを保護するよう命じた。

SonicWallは、ファイアウォール管理およびSSLVPNアクセスを信頼できるソースに制限し、可能な限りインターネットアクセスを無効にすることを推奨しています。また、管理者は、TOTPまたは電子メールベースのワンタイムパスワード(OTP)を使用して、すべてのSSLVPNユーザーに対して多要素認証(MFA)を有効にする必要があります。

攻撃者は、サイバースパイやランサムウェア攻撃でSonicWallデバイスやアプライアンスを標的にすることがよくあります。たとえば、SonicWall PSIRTとMandiantは昨年、中国のハッカー(UNC4540)と疑われる人物が、パッチが適用されていないSonicWall Secure Mobile Access(SMA)アプライアンスのファームウェアアップグレードを生き延びるマルウェアをインストールしたことを明らかにしました。

HelloKittyや FiveHands(現在はAkiraが加わっている)を含む複数のランサムウェアギャングも、SonicWallのセキュリティバグを悪用して被害者の企業ネットワークに初期アクセスしています。

SonicWallは、政府機関や世界有数の大企業など、215の国と地域で50万を超える企業顧客にサービスを提供しています。