SonicWallは、ランサムウェア攻撃でゼロデイが悪用されている可能性について調査してきましたが、自社製品に新たな脆弱性が存在する証拠は見つかりませんでした。
サイバーセキュリティ企業のHuntress、Arctic Wolf、およびField Effectは最近、ゼロデイ脆弱性の可能性を通じてSSL VPNが有効化されたSonicWallファイアウォールを標的としたAkiraランサムウェア攻撃が観測されていると警告しました。
SonicWallはすぐに調査を発表し、水曜日に明らかにしたところによると、これらの攻撃はGen 7以降のファイアウォールに影響を与えるゼロデイ脆弱性の悪用とは考えにくいとのことです。
同社は高い確信をもってゼロデイは存在しないと判断し、代わりに攻撃は2024年9月に明らかになったCVE-2024-40766の悪用に関連しているとみられるとしています。この脆弱性については、ベンダーが実際に悪用された可能性があると警告していました。
公開後まもなく、この脆弱性がランサムウェア攻撃、特にAkiraによる攻撃で悪用されたとの報告が出ました。
SonicWallが今回示唆している問題は、脅威アクターがこの脆弱性を悪用してデバイスの認証情報を取得したことです。デバイス自体はその後アップデートされ、完全にパッチが適用されている可能性がありますが、管理者が漏洩した認証情報を変更していなければ、攻撃者は依然としてそれを使ってアクセスできてしまいます。
「現在、このサイバー活動に関連するインシデントは40件未満を調査中です」とSonicWallは述べています。「多くのインシデントは、Gen 6からGen 7ファイアウォールへの移行時にローカルユーザーパスワードが引き継がれ、リセットされなかったケースに関連しています。」
同社はまた、「パスワードのリセットは元のアドバイザリで重要なステップとして記載されていました」と指摘しています。
広告。スクロールして続きをお読みください。
しかし、Field EffectはSecurityWeekに対し、SonicWallのアドバイザリのアーカイブ版に基づくと、パスワード更新のアドバイスは2025年1月のある時点で追加されたものであり、2024年12月のスナップショットではパスワードに関する推奨は記載されていなかったと述べています。
Field Effectはまた、最近のブログ記事で、Gen 8のSonicWallファイアウォールが攻撃で侵害された事例も確認したと指摘しています。同社は現在もこのインシデントを分析中ですが、問題の顧客はGen 7からGen 8へ移行したようです。SonicWallの警告は、Gen 6からGen 7以降に設定をインポートした顧客向けのアドバイスに焦点を当てています。
Googleは7月中旬、金銭目的の脅威アクターUNC6148が、別のキャンペーンと思われるSonicWall SMAアプライアンスを標的にしていることを警告しました。
しかしGoogleは当時、攻撃者は既知の脆弱性の悪用によって以前に取得した認証情報を利用し、パッチが適用されたものの管理者が漏洩したパスワードを変更していないデバイスにアクセスしている可能性が高いと述べていました。
UNC6148は「Overstep」と名付けられた新たなマルウェアを展開しており、これは永続的なバックドアかつユーザーモードのルートキットであり、認証情報、セッショントークン、ワンタイムパスワードのシードを窃取できると説明されています。
翻訳元: https://www.securityweek.com/sonicwall-says-recent-attacks-dont-involve-zero-day-vulnerability/