2025年8月5日Ravie Lakshmananゼロデイ / ネットワークセキュリティ
SonicWallは、2025年7月下旬にAkiraランサムウェアの活動が急増したとの報告を受け、新たなゼロデイ脆弱性が存在するかどうかを積極的に調査していると発表しました。
「過去72時間にわたり、SSLVPNが有効化されたGen 7 SonicWallファイアウォールに関して、社内外からサイバーインシデントの報告が顕著に増加しています」と、このネットワークセキュリティベンダーは声明で述べています。
「これらのインシデントが既知の脆弱性に関連しているのか、それとも新たな脆弱性が原因となっているのかを特定するため、積極的に調査を進めています。」
SonicWallが調査を進める中、Gen 7 SonicWallファイアウォールを利用している組織は、以下の手順を当面の間実施することが推奨されています。
- 可能な場合はSSL VPNサービスを無効化する
- SSL VPN接続を信頼できるIPアドレスのみに制限する
- Botnet ProtectionやGeo-IPフィルタリングなどのサービスを有効化する
- 多要素認証(MFA)を強制する
- 特にSSL VPNアクセス権を持つ、非アクティブまたは未使用のローカルユーザーアカウントをファイアウォールから削除する
- すべてのユーザーアカウントで定期的なパスワード更新を推奨する
この動きは、Arctic Wolfが明らかにした、先月下旬以降SonicWall SSL VPNデバイスを初期侵入の標的としたAkiraランサムウェア活動の急増を受けたものです。
Huntressは月曜日に公開した追加分析で、脅威アクターが初期侵害からわずか数時間でドメインコントローラーへ直接移行する様子も観測したと述べています。
攻撃チェーンはSonicWallアプライアンスの侵害から始まり、攻撃者はその後、「使い古された」ポストエクスプロイト手法で列挙、検知回避、横展開、認証情報の窃取を実行します。
これらのインシデントでは、悪意のある攻撃者がAkiraランサムウェアを展開する前に、Microsoft Defender Antivirusを計画的に無効化し、ボリュームシャドウコピーを削除する手口も含まれています。
Huntressによると、2025年7月25日以降に始まった最新の攻撃波で約20件の攻撃が検知されており、偵察や永続化のためのAnyDesk、ScreenConnect、SSHなどのツール利用を含め、手法にバリエーションが見られたとしています。
この活動はSSL VPNが有効化されたTZシリーズおよびNSaシリーズのSonicWallファイアウォールに限定されている可能性があり、疑わしい脆弱性はファームウェアバージョン7.2.0-7015以前に存在するとする証拠もあります。
「これらの攻撃の速度と成功率は、MFAが有効な環境でさえも、野放し状態のゼロデイ脆弱性が悪用されていることを強く示唆しています」と、サイバーセキュリティ企業は述べています。「これは重大かつ継続中の脅威です。」
翻訳元: https://thehackernews.com/2025/08/sonicwall-investigating-potential-ssl.html