2025年9月18日Ravie Lakshmananデータ侵害 / ネットワークセキュリティ
SonicWallは、MySonicWallアカウントに影響を及ぼすセキュリティ侵害により、ファイアウォールの設定バックアップファイルが流出したことを受け、顧客に認証情報のリセットを呼びかけています。
同社によると、最近ファイアウォール向けのクラウドバックアップサービスを標的とした不審な活動を検知し、未知の脅威アクターが全顧客の5%未満にあたるクラウド上に保存されたバックアップファイアウォール設定ファイルへアクセスしたとのことです。
「ファイル内の認証情報は暗号化されていましたが、ファイルには関連するファイアウォールの悪用を容易にする可能性のある情報も含まれていました」と同社は述べています。
ネットワークセキュリティ企業である同社は、これらのファイルが脅威アクターによってオンライン上に漏洩したという認識はなく、自社ネットワークを標的としたランサムウェアイベントでもなかったと付け加えました。
「むしろ、これは脅威アクターによるバックアップに保存された設定ファイルへのアクセスを目的とした一連のブルートフォース攻撃でした」と同社は指摘しています。攻撃の責任者は現時点では判明していません。
このインシデントを受けて、同社は顧客に以下の手順を実施するよう呼びかけています。
- MySonicWall.comにログインし、クラウドバックアップが有効になっているか確認する
- 影響を受けたシリアル番号がアカウントでフラグ付けされているか確認する
- WANからのサービスアクセス制限、HTTP/HTTPS/SSH管理アクセスの無効化、SSL VPNおよびIPSec VPNへのアクセスの無効化、ファイアウォールに保存されたパスワードおよびTOTPのリセット、ログや最近の設定変更の確認による異常活動の監査など、封じ込めおよび修復手順を開始する
さらに、影響を受けた顧客には、SonicWallが提供する新しい設定ファイルをファイアウォールにインポートすることも推奨されています。新しい設定ファイルには以下の変更が含まれます。
- すべてのローカルユーザーのパスワードのランダム化
- TOTPバインディングのリセット(有効な場合)
- IPSec VPNキーのランダム化
「SonicWallが提供する修正済み設定ファイルは、クラウドストレージで見つかった最新の設定ファイルから作成されています」と同社は述べています。「最新の設定ファイルがご希望の設定を反映していない場合は、そのファイルを使用しないでください。」
この発表は、Akiraランサムウェアグループに関連する脅威アクターが、1年前に発見されたセキュリティ脆弱性(CVE-2024-40766、CVSSスコア: 9.3)を悪用して、未修正のSonicWallデバイスを標的ネットワークへの初期アクセス獲得のために引き続き標的にしている中でのことです。
今週初め、サイバーセキュリティ企業Huntressは、脅威アクターがSonicWall VPNの脆弱性を悪用し、セキュリティソフトウェアのリカバリーコードが記載された平文ファイルを利用して多要素認証(MFA)を回避し、インシデントの可視性を抑制し、エンドポイント保護の削除を試みたAkiraランサムウェア事件について詳細を明らかにしました。
「このインシデントでは、攻撃者が公開されたHuntressのリカバリーコードを使ってHuntressポータルにログインし、アクティブなアラートを閉じ、Huntress EDRエージェントのアンインストールを開始することで、組織の防御を事実上無力化し、さらなる攻撃に対して脆弱な状態にしました」と研究者のMichael Elford氏とChad Hudson氏は述べています。
「このレベルのアクセスは、防御の無効化、検知ツールの操作、さらなる悪意ある行動の実行に悪用される可能性があります。組織はリカバリーコードを特権アカウントのパスワードと同じレベルの機密性で扱うべきです。」
翻訳元: https://thehackernews.com/2025/09/sonicwall-urges-password-resets-after.html