SonicWallは、重大なファイアウォールサービスに影響を与える未特定の脆弱性を標的とした現在進行中の攻撃を受け、Gen 7ファイアウォールで暗号化サービスを無効にするよう顧客に警告しました。攻撃は金曜日以降、著しく増加していると、同社はブログ投稿で述べています。
Arctic Wolf、Google、Huntressの脅威ハンターおよびインシデント対応者は、7月15日頃から始まったランサムウェア攻撃の波を観測しています。増え続ける証拠は、安全なソケットレイヤー(SSL)VPNプロトコルに影響を与えるゼロデイ脆弱性が最初の攻撃経路であることを示しています。
「金銭目的の脅威アクターが被害者の環境を積極的に侵害し、Akiraランサムウェアを展開しています」とMandiant ConsultingのCTO、Charles Carmakal氏は、火曜日のLinkedIn投稿で述べました。「侵害の速度と規模は、SonicWall Gen 7ファイアウォールにおけるゼロデイ脆弱性の可能性を示唆しています。」
SonicWallは、現在進行中の調査で、攻撃が既知の脆弱性によるものか、ゼロデイによるものかはまだ特定されていないと述べています。「新たな脆弱性が確認された場合、できる限り早く更新ファームウェアとガイダンスを提供します」と、SonicWallのグローバルコミュニケーション担当シニアディレクター、Bret Fitzgerald氏はCyberScoopに語りました。
複数のセキュリティ企業の研究者が、攻撃者が多要素認証が有効な環境であっても顧客ネットワークに侵入し、侵害していることを確認しました。
攻撃者は迅速に行動し、数時間以内にドメインコントローラーへ直接移動して、短期間の潜伏の後にランサムウェアを展開していると、Huntressは脅威アドバイザリで月曜日に述べました。同社は、7月25日からほぼ毎日のように発生している約20件の攻撃を観測しています。
Huntressによると、侵害後の手法は、Akiraランサムウェア展開前に自動化スクリプトと手動操作の両方を組み合わせています。これには、管理者アクセスのための特権アカウントの悪用、バックドアの設置、複数のデータベースからの認証情報窃取のための水平移動、セキュリティツールやファイアウォールの計画的な無効化が含まれます。
複数の攻撃者がSonicWallデバイスを通じて内部ネットワークへのアクセスを得ています。さまざまな攻撃に共通点がある一方で、Huntressは違いも指摘しており、複数の脅威グループが関与しているか、攻撃者がアクセス後に状況に応じて手法を適応させている可能性を示唆しています。
繰り返されるSonicWallの被害
SonicWallファイアウォールを標的とした現在進行中の大規模な攻撃は、同社の顧客が長年直面してきた継続的なリスクを浮き彫りにしています。SonicWallは2021年後半以降、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用脆弱性カタログに14件登録されています。
最近の継続中の攻撃は次世代ファイアウォールを標的としていますが、先月の攻撃は完全にパッチが適用されているものの古いSonicWall Secure Mobile Access 100シリーズ機器を使用する組織を狙った金銭目的のものでした。CISAのカタログに掲載されているSonicWallの脆弱性の半数はSMA 100機器に影響し、今年積極的に悪用された4件のうち3件も含まれます。
SonicWallがGen 7ファイアウォールでSSLVPNを無効にするよう推奨していることは、ユーザーが企業ネットワークへの暗号化接続を確立できるこの重要なサービスが、本来の目的を果たす信頼性を持たないことを認めていると言えます。多くの組織では、従業員がVPN経由で企業ネットワークにアクセスする必要があります。
SonicWallのSSLVPNは、CISAの既知の悪用脆弱性カタログに掲載されている少なくとも3件の積極的に悪用された脆弱性の根本原因でした。これにはCVE-2024-53704、CVE-2023-44221、CVE-2021-20016が含まれます。
Akiraランサムウェアは、2023年3月から2024年1月までに250以上の組織に影響を与え、約4,200万ドルの恐喝金を得たと、CISAは昨年のアドバイザリで述べています。関係者によると、Akiraの運用者はデータを盗み、システムを暗号化した後、データ公開をちらつかせて脅迫します。FBIによれば、一部のAkiraの関係者は、被害企業に直接電話をかけてさらなる圧力をかけたこともあるとのことです。
攻撃の根本原因と犯人の特定に向けた調査は継続中です。
翻訳元: https://cyberscoop.com/sonicwall-firewalls-attack-spree-zero-day/