SonicWallファイアウォール管理インターフェースを標的としたインターネットスキャンアクティビティの急激な急増は、サイバーセキュリティ研究者の懸念を高めており、GreyNoiseは1日で597,000近くのセッションを報告しています。
2026年5月12日に観測されたこのスパイクは、過去90日間で記録された最高のボリュームであり、典型的な日次ベースラインより約46倍高いです。
GreyNoiseテレメトリーによると、このアクティビティは5月9日から5月18日の間に発生し、SonicWall SonicOS管理APIに焦点を当てていました。
このパターンは、今年初めに以前見られたスキャンの波と非常によく似ており、CVE-2026-0400として追跡される重大な脆弱性の開示に先行していました。研究者はこの相関が決定的ではないと注意していますが、タイミングと行動は開示前の偵察の可能性を示唆しています。
ハッカーがSonicWallファイアウォールインターフェースをスキャン
トラフィックの分析により、高度に一貫した自動スキャンアプローチが明らかになりました:
- リクエストの99%近くは単一のユーザーエージェント文字列を使用しています:Linux x86_64上のChrome 119で、以前のキャンペーンで観測されたツールと同一です。
- セッションの約56%はオランダのネットワークから発信され、44%はウクライナから来ています。
- 単一の自律システムであるAS211736が、観測されたアクティビティのほぼ半分を占めています。
- ターゲットとされたトラフィックの大部分は、ポート80および8080上のHTTPサービスに向けられています。
- 関連するソースIPのほとんどは、GreyNoiseによって「疑わしい」として分類されています。
このレベルの均一性は、集中化されたスキャニングインフラストラクチャの可能な使用を示しており、おそらく調整された脅威行為者またはグループによって運用されており、悪用の準備をしています。
GreyNoiseは、2026年初めに同様のスキャンスパイクのシーケンスを強調しました。1月18日、1月30日、2月14日に発生しました。これらのイベントは、2月24日のCVE-2026-0400の公式開示に、それぞれ37日、25日、10日先行していました。
このパターンはスキャンのスパイクが早期警告信号として機能する可能性を示唆していますが、研究者は、これが差し迫った脆弱性開示の確実な指標として解釈されるべきではないと強調しています。現在のスパイクは、単一のイベント、より広範なシーケンスの一部、または無関係なバックグラウンドアクティビティを表している可能性があります。
SonicWallデバイスを使用しているセキュリティチームは、曝露を減らすために積極的なステップを取ることをお勧めします:
- SonicOS管理インターフェースおよびSSL VPNポータルへのアクセスを信頼できるIPレンジのみに制限します。
- すべてのリモートアクセスアカウントに多要素認証(MFA)を強制します。
- 2026年5月1日以降に作成された不正な管理アカウントの構成を確認します。
- ネットワークエッジで疑わしいトラフィックをフィルタリングするための動的IPブロックリストをデプロイします。
今後数週間にわたって、組織はSonicWallのPSIRT勧告を密切に監視し、新しい脆弱性の開示から24時間以内にパッチを適用する準備をする必要があります。侵害の可能性を検出するためにも、ロギングの強化とアウトバウンドトラフィックの監視が推奨されます。
現在のスパイクは、大規模なスキャンアクティビティがどのように新興脅威の早期信号として機能できるかを強調しており、継続的な監視と迅速な対応準備の必要性を強化しています。
翻訳元: https://gbhackers.com/hackers-actively-scan-sonicwall-firewall-interfaces/
