研究者によると、保護されているように見えたファイアウォールを標的とした攻撃の波が2月に始まったという。
サイバーセキュリティ企業Reliaquestが火曜日に発表したレポートによると、脅威グループはパッチが適用されたにもかかわらず、2月からSonicWall SSL-VPNアプライアンスの2年前の脆弱性を悪用し続けているという。レポートによると。
CVE-2024-12802として追跡されている認証バイパス脆弱性により、攻撃者はSonicWall SSL-VPNアプライアンスの多要素認証(MFA)をバイパスすることができる。
Reliaquest研究者によると、2026年2月から、攻撃者は自動化ツールを使用してブルートフォース攻撃を実行でき、警告やログインアラートを発生させることなくMFAをバイパスできたという。
複数のインシデント対応シナリオで同じパターンに遭遇した後、Reliaquestはこの活動の調査を開始した。
「2026年2月から3月にかけてのすべての事例において、同じパターンが見られた。VPNアカウントが高速でブルートフォース攻撃を受け、MFAは有効に見えるが認証を停止せず、ログに自動化ツールを指す特定のセッションタイプが記録されている」とReliaquest研究者はCybersecurity Diveに述べた。
研究者は攻撃の直接的な帰属を提供することはできなかったが、脅威活動はAkiraグループのランサムウェア活動と一致していた。同グループは2025年にSonicWallの顧客を標的とした一連の攻撃にリンクされていた。
SonicWallは2025年に勧告とファームウェアアップグレードを発行したが、Reliaquestは、Gen6デバイスが安全であることを確認するために6つの追加の手動ステップが必要であると警告した。研究者によると、パッチはGen7デバイスで正常に動作しているという。
攻撃は、Microsoft Active Directoryと統合された場合のユーザープリンシパル名とセキュリティアカウントマネージャーアカウント名の別個の処理を悪用することで実現される。ファームウェアアップデート単体では、バイパスを有効にするLightweight Directory Access Protocol構成を削除できない。
研究者によると、SonicWallはこの脆弱性に6.5の重大度スコアのみを付与し、これが一部の組織が注視しなかった可能性があるという。CISAの認定データパブリッシャー評価では、この脆弱性を9.1と評価しており、これは重大と考えられている。
より最近の展開として、Gen6アプライアンスは4月16日にサポート終了ステータスに達し、SonicWallはもはやそれらをサポートしていない。
SonicWallのスポークスマンはコメント要請に対して直ちに応じることができなかった。
翻訳元: https://www.cybersecuritydive.com/news/patch-bypass-hackers-exploit-flaw-sonicwall/820600/
