Akiraランサムウェアグループが、SonicWallファイアウォールの1年前の脆弱性を新たな攻撃で悪用しており、初期アクセスのために3つの攻撃経路を組み合わせている可能性があるとRapid7が警告しています。
標的となった脆弱性はCVE-2024-40766(CVSSスコア9.3)として追跡されており、不適切なアクセス制御の問題で、攻撃者が制限されたリソースにアクセスしたり、特定の条件下でファイアウォールをクラッシュさせたりする可能性があります。
このバグの悪用は、SonicWallが2024年8月にアドバイザリを公開した直後に観測されました。同社は初期情報を更新し、追加の緩和策を推奨しています。
「SonicWallは、ローカル管理のSSLVPNアカウントを持つGen5およびGen6ファイアウォールのすべてのユーザーに対し、セキュリティ強化と不正アクセス防止のため、直ちにパスワードを更新することを強く推奨します。管理者は各ローカルアカウントに対して『ユーザーはパスワードを変更する必要がある』オプションを有効にする必要があります」と同社は述べています。
先月、セキュリティ研究者は、SonicWallアプライアンスへの新たな攻撃の波を受けてゼロデイの可能性を警告しましたが、ベンダーは侵害をCVE-2024-40766に関連付けました。
現在、Rapid7によると、8月の攻撃キャンペーンをきっかけに、脆弱なSonicWallファイアウォールの悪用が急増しており、これはAkiraランサムウェアグループによるものとされています。
しかし、サイバーセキュリティ企業によれば、この1年前の脆弱性は、Akiraがこのキャンペーンで使用した攻撃経路の一つに過ぎない可能性があります。
SSLVPN Default Users Groupは、セキュリティリスクであり、本来許可されていないユーザーでもSSLVPNにアクセスできてしまうため、これも悪用された可能性があります。
広告。スクロールして続きをお読みください。
さらに、攻撃者はSonicWallアプライアンス上のVirtual Office Portalにアクセスしていた可能性もあり、これはパブリックアクセス用に設定されている場合があります。
「Rapid7の調査で収集された証拠によると、Akiraグループはこれら3つすべてのセキュリティリスクを組み合わせて不正アクセスを行い、ランサムウェア攻撃を実施している可能性があります」とサイバーセキュリティ企業は指摘しています。
少なくとも2023年から活動しているAkiraランサムウェア集団は、初期アクセスのためにエッジデバイスを標的とし、権限昇格、機密ファイルやデータの窃取、バックアップの消去、ハイパーバイザー層でのファイル暗号化型ランサムウェアの展開を行っています。
組織は、SonicWallが公開したパッチをできるだけ早く適用し、ベンダーが推奨するすべての緩和策を実施し、すべてのSonicWallアカウントのパスワードをローテーションし、SSLVPNサービスに多要素認証(MFA)が有効になっていることを確認し、SSLVPN Default Groupsのセキュリティリスクを緩和し、Virtual Office Portalへのアクセスを制限することが推奨されます。
関連記事: 米国、ウクライナのランサムウェアオペレーターに1000万ドルの報奨金を提供
関連記事: Play、RansomHub、DragonForceランサムウェア作戦に関連する脅威アクター
翻訳元: https://www.securityweek.com/akira-ransomware-attacks-fuel-uptick-in-exploitation-of-sonicwall-flaw/