SonicWallは、自社のGen 7ファイアウォールを狙った一連のランサムウェア攻撃がゼロデイ脆弱性によるものではなく、昨年夏に同社が公表しパッチを提供したネットワークセキュリティオペレーティングシステムの重大な欠陥によるものだと主張しています。
同社は、外部研究者による「攻撃の速度と規模から、セキュアソケットレイヤー(SSL)VPNプロトコルに影響を与える潜在的なゼロデイ脆弱性が初期の攻撃経路である可能性が高い」とする初期評価に異議を唱えました。「SonicWallはこの問題を徹底的に調査し、現時点の調査結果に基づき、この活動はCVE-2024-40766に関連していると高い確信を持っています」とSonicWallは声明で述べ、さらに「これは新たなゼロデイや未知の脆弱性ではありません」と付け加えました。
最新の攻撃の根本原因をめぐる相反する説や広範な不確実性は、セキュリティ専門家が実際に攻撃を受けている欠陥を特定し修正しようと奔走する中で直面する課題を浮き彫りにしています。Arctic Wolfの研究者は、今回の活動が以前のCVE-2024-40766を含む攻撃と類似していると指摘していました。
SonicWallによると、今回の攻撃で影響を受けた組織は40未満で、攻撃は7月中旬に始まり、その後数週間でペースが上がったとのことです。サイバーセキュリティ企業のHuntressとGuidePoint Researchも、被害組織数を40未満と見積もっています。
多くの攻撃は、Gen 6からGen 7ファイアウォールに最近移行したものの、パスワードをリセットしなかった顧客が対象となっていると、SonicWallは最新のブログ投稿で述べています。同社は、影響を受けた顧客のうち、CVE-2024-40766のパッチを適用していなかったファイアウォールがどれほどあったかについては明言していません。
SonicWallは2024年8月22日、CVSSスコア9.8のSonicOSにおける不適切なアクセス制御の脆弱性を公表しました。この欠陥は2024年9月9日、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用脆弱性カタログに追加され、同庁はランサムウェアキャンペーンで使用されたことを確認しています。
SonicWallはコメントの要請に応じませんでした。
「このCVEが、私たちが確認したすべてのケースの根本的な問題なのかは不明です」と、Huntressのアドバーサリー・タクティクス部門ディレクター、ジェイミー・レヴィ氏はメールで述べています。「私たちの側でもSonicWallデバイスの一部が悪用されているのを引き続き確認していますが、それらがパッチ済みなのか、古い設定なのかは不明です。」
Huntressは、影響を受けた一部の顧客が古い設定のままGen 7に移行していたことを確認しましたが、影響を受けたある組織は、前世代からの移行ではなく新規にGen 7を導入したSonicWallデバイスが侵害されたとHuntressに伝えています。「他にも脆弱性や設定ミスが関与している可能性があります」とレヴィ氏は述べました。
この一連の攻撃で影響を受けた顧客の大半は、すでにCVE-2024-40766のパッチを適用していたと彼女は付け加えました。「これらの攻撃の大多数はランサムウェア、主にAkiraを実行しようとしています。」
GuidePoint SecurityとArctic Wolfの研究者も、最近の攻撃をAkiraランサムウェアのアフィリエイトによるものとしています。「このキャンペーンに他のグループが関与しているという情報はありませんが、完全に否定することもできません」とGuidePointのリサーチ&インテリジェンスチームのマネージングセキュリティコンサルタント、ジェイソン・ベイカー氏はメールで述べました。
GuidePointは攻撃の技術的な根本原因を分析していませんが、「現時点でSonicWallの対応が不誠実または不十分だと考える理由はありません」とベイカー氏は述べています。
Akiraのアフィリエイトは通常、被害者からデータを窃取し、システムを暗号化した後、復号ツールや盗んだデータの公開防止を名目に被害者を恐喝します。Akiraランサムウェアは2023年3月から2024年1月までに250以上の組織に影響を与え、約4,200万ドルの恐喝金を得たとCISAは昨年の勧告で述べています。
SonicWallの最新ガイダンスでは、顧客に資格情報の変更と、追加の多要素認証制御を含むSonicOS 7.3.0へのアップグレードを推奨しています。同社は以前推奨していたGen 7ファイアウォールでのSSLVPN無効化のガイダンスを撤回しました。
「もしCVE-2024-40766を通じてローカル管理者アカウントが侵害された場合、攻撃者はパケットキャプチャ、デバッグ、ログ、設定バックアップ、MFA制御などの管理機能を悪用し、追加の資格情報を取得したり、トラフィックを監視したり、全体的なセキュリティ体制を弱体化させる可能性があります」とSonicWallは述べています。
SonicWallの顧客は、同社のファイアウォールやソフトウェアの欠陥を突いた継続的な攻撃にさらされています。同社は2021年後半以降、CISAの既知の悪用脆弱性カタログに14回登場しています。
翻訳元: https://cyberscoop.com/sonicwall-firewall-attacks-old-vulnerability/