TokyoBlackHatNews

bleepingcomputer.com 5分で読了

不完全なパッチ適用によるSonicWall VPN MFAのバイパス

Image

脅威アクターはSonicWall Gen6 SSL-VPNアプライアンスのVPN認証情報をブルートフォース攻撃し、多要素認証(MFA)をバイパスしてランサムウェア攻撃に使用されるツールを展開しました。

侵入中、ハッカーはログイン、ネットワーク偵察、内部システムでの認証情報の再利用テスト、およびログアウトに30~60分を要しました。

SonicWallはCVE-2024-12802のセキュリティアドバイザリーで、Gen6デバイスへのファームウェア更新のインストール単独では脆弱性を完全に軽減できず、LDAPサーバーの手動再構成が必要であることを警告しています。これを行わないと、MFA保護をバイパスされる可能性が残ります。

サイバーセキュリティ企業ReliaQuestの研究者は2月から3月にかけて複数の侵入に対応し、「複数の環境のSonicWallデバイスを標的とするCVE-2024-12802の最初の野生環境での悪用である可能性が中程度の信頼度で存在する」と評価しました。

研究者は、調査した環境では、デバイスは更新されたファームウェアを実行していたためパッチが適用されているように見えたが、必要な修復ステップが完了していなかったため依然として脆弱なままであったことに注目しました。

Gen7およびGen8デバイスでは、単に新しいファームウェアバージョンに更新するだけで、CVE-2024-12802の悪用からのリスクを完全に排除するのに十分です。

悪用活動

ReliaQuestによると、あるインシデントでは、ハッカーが内部ネットワークにアクセスし、わずか30分でドメイン参加ファイルサーバーに到達しました。その後、共有ローカル管理者パスワードを使用してRDP経由でリモート接続を確立しました。

研究者は、攻撃者がCobalt Strikeビーコン(コマンド&コントロール(C2)通信用のポスト悪用フレームワーク)と脆弱なドライバーの展開を試みたことを発見しました。これはBring Your Own Vulnerable Driver(BYOVD)テクニックを使用してエンドポイント保護を無効化する目的である可能性があります。

しかし、インストールされたエンドポイント検出および応答(EDR)ソリューションがビーコンとドライバーのロードをブロックしました。

Image

意図的なログアウトアクションと数日後の再ログイン(時に異なるアカウントを使用)に基づいて、研究者は脅威アクターが脅威グループへの初期アクセスを販売するブローカーであると考えています。

昨年、AkiraランサムウェアギャングはSonicWall SSL VPNデバイスを標的とし、アカウントでMFAが有効になっているにもかかわらずログインしましたが、その方法は確認されていません。

CVE-2024-12802への対処

CVE-2024-12802脆弱性はUPNログイン形式のMFA強制の欠落が原因であり、有効な認証情報を持つ攻撃者が直接認証し、MFA要件をバイパスできます。

Gen6 SonicWallデバイスは最新ファームウェアで更新する必要があり、その後、ベンダーのアドバイザリーで詳しく説明されている以下の修復ステップに従う必要があります:

  1. 「修飾されたログイン名」フィールドのuserPrincipalNameを使用する既存のLDAP構成を削除します
  2. ローカルキャッシュ/リストされたLDAPユーザーを削除します
  3. 構成されたSSL VPN「ユーザードメイン」を削除します(LocalDomainに戻ります)
  4. ファイアウォールを再起動します
  5. 「修飾されたログイン名」にuserPrincipalNameなしでLDAP構成を再作成します
  6. 後で脆弱なLDAP構成を復元しないように新しいバックアップを作成します

研究者は、分析された侵入の背後にある脅威アクターが、CVE-2024-12802脆弱性を悪用して「複数のセクターおよび地域にわたって」初期アクセスを取得したことに高い信頼度を持っています。

ReliaQuestによると、調査されたインシデントで観察された不正なログイン試行は、ログでも通常のMFAフローとして表示され、防御者がMFAが失敗しても機能したと信じるようになりました。

研究者は、sess=”CLI”シグナルがこれらの攻撃の重要な指標であり、スクリプト化または自動化されたVPN認証を示唆していると述べており、管理者がそれを探すことを推奨しています。

その他の強いシグナルは、イベントID 238および1080、および疑わしいVPS/VPNインフラストラクチャからのVPNログインです。

Gen6 SSL-VPNアプライアンスが今年4月16日にサポート終了に達し、セキュリティアップデートを受け取らなくなったことを考慮すると、より最近のアクティブにサポートされているバージョンへの移行が一般的に推奨されます。

検証ギャップ:自動化されたペネトレーションテストが回答する質問は1つです。必要な質問は6つです。

自動化されたペネトレーションテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されています:攻撃者はネットワークを通じて移動できるでしょうか?それらは、コントロールが脅威をブロックするか、検出ルールが発火するか、またはクラウド構成が機能するかをテストするために構築されていません。

このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。

今すぐダウンロード

翻訳元: https://www.bleepingcomputer.com/news/security/hackers-bypass-sonicwall-vpn-mfa-due-to-incomplete-patching/

ソース: bleepingcomputer.com
#Cobalt_Strike #CVE-2024-12802 #LDAP認証 #MFAバイパス #SonicWall #VPN #パッチ管理 #ランサムウェア #初期アクセス #脆弱性

関連記事

ウクライナが28,000件の盗まれたアカウントに関連するインフォスティーラーオペレーターを特定

Grafana侵害はTanStackアタック後のトークン回転漏れが原因

アイデンティティだけでは不十分:デバイスセキュリティが負担を共有する必要がある理由