セキュリティ専門家は、SonicWall SSL VPNにゼロデイ脆弱性の可能性があると警告しています。これは、これらのデバイスを初期アクセスのために標的とするランサムウェア攻撃の急増が確認されたためです。
Arctic Wolfは金曜日のセキュリティ通知で、7月下旬に「短期間のうちに複数のプレランサムウェア侵入」を観測したと述べました。
「ブルートフォース、辞書攻撃、クレデンシャルスタッフィングによる認証情報アクセスがすべてのケースで完全に除外されたわけではありませんが、入手可能な証拠はゼロデイ脆弱性の存在を示唆しています」と続けています。
「一部のケースでは、認証情報のローテーション後に完全にパッチが適用されたSonicWallデバイスが影響を受けました。TOTP(時限ワンタイムパスワード)MFAが有効化されていたにもかかわらず、アカウントが侵害されたケースもありました。」
SonicWallデバイスへの攻撃について詳しくはこちら:Palo Alto NetworksおよびSonicWallファイアウォールが攻撃を受ける
セキュリティベンダーが観測したすべてのケースで、脅威アクターはSonicWall SSL VPNを通じてVPNアクセスを獲得しました。その後、短い間隔をおいてランサムウェアによる暗号化が行われたとArctic Wolfは述べています。
「正規のVPNログインは通常、ブロードバンドインターネットサービスプロバイダーが運営するネットワークから発信されますが、ランサムウェアグループはしばしば仮想プライベートサーバーホスティングを利用して、侵害された環境でVPN認証を行います」と付け加えています。
同社によると、悪意のあるVPNログインは2024年10月から観測されていましたが、最近の活動の増加は2025年7月15日から始まったとのことです。
同社はSonicWall SSL VPNの顧客に以下を推奨しています:
- (攻撃がゼロデイ脆弱性に起因していると仮定した場合)パッチが適用されるまでサービスの無効化を検討する
- Arctic Wolfのマネージド検知および対応サービスを通じてSonicWallのログ監視を有効化する
- SSL VPNエンドポイントを標的とする脅威アクターの検出に役立つボットネット保護などのセキュリティサービスを有効化する
- 認証情報の悪用リスクを低減するため、すべてのリモートアクセスに多要素認証(MFA)を強制する
- 特にSSL VPNアクセス権を持つ未使用または非アクティブなローカルファイアウォールユーザーアカウントを削除する
- すべてのユーザーアカウントで定期的なパスワード更新を推奨するなど、パスワードの衛生管理を徹底する
- ホスティング関連のASN(ブログに記載)を確認し、対応するCIDR範囲をVPN認証のためにブロックすることを検討する
VPN、ファイアウォール、ルーターなどのネットワークエッジデバイスは、インターネットに接続されているだけでなく、機密性の高い企業リソースへのアクセスも提供するため、ランサムウェア攻撃者にとって人気の標的です。多くの場合、こうしたデバイスはエンドポイント検知および対応(EDR)の対象外となっており、ネットワーク防御者にとってセキュリティの死角となっています。
InfosecurityはSonicWallにコメントを求めており、現在回答を待っています。
画像クレジット: Michael Vi / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/uptick-akira-ransomware-actors/