最近発生したSonicWallファイアウォール設定ファイルの侵害を受けて、Huntressは複数の企業にわたりSonicWall SSL VPNアカウントを標的とした大規模なキャンペーンが行われていると警告しています。
サイバーセキュリティ企業によると、攻撃者は侵害されたデバイス上の複数のSSL VPNアカウントに急速にログインしており、ブルートフォースではなく有効な認証情報を使用している可能性が高いとしています。
活動の大部分は10月4日に発生し、その後数日にわたりクラスター化して続きました。10月10日までに、16の環境にわたる100以上のSonicWall SSL VPNアカウントがこのキャンペーンの一環として侵害されました。
認証試行は同じIPアドレスから行われ、ほとんどの場合、攻撃者は追加の活動を行わずに侵害されたネットワークから切断している様子が見られました。
「他のケースでは、攻撃者がネットワークスキャン活動を行い、複数のローカルWindowsアカウントへのアクセスを試みるなど、侵害後の活動の証拠がありました」とHuntressは述べています。
この警告は、SonicWallが発表した、クラウドバックアップサービスを利用してファイアウォール設定ファイルを保存していたすべてのユーザーが9月のデータ侵害の影響を受けたという発表の数日後に出されました。
この攻撃の一環として、ハッカーはMySonicWallをクラウドバックアップサービスとして設定したすべてのファイアウォールの設定ファイルにアクセスしました。これらのファイルには暗号化された認証情報や設定データが含まれているため、侵害は影響を受けた組織にとって高いリスクとなるとSonicWallは先週述べています。
Huntressによると、新たなキャンペーンがMySonicWallのデータ侵害と関連している証拠はありませんが、両者の間に潜在的な関連性がないとは言い切れません。
広告。スクロールして続きをお読みください。
「特に、[SonicWallの]アドバイザリと最近見られる侵害の急増を結びつける証拠はありません。しかし、私たちの視点からはその活動を識別できる証拠が存在しない可能性もあります。私たちは確認された侵害の指標と大規模な侵害に関するデータを報告しています」とHuntressは述べています。
このサイバーセキュリティ企業は、WAN管理やリモートアクセスの制限、認証情報のリセット、認証情報がローテーションされるまでリモート管理の無効化または制限、外部APIや自動化シークレットの失効および再発行を推奨しています。
また、組織は不審なログイン試行のログを確認し、認証情報のローテーション後にサービスを段階的に再導入して不正アクセスを監視し、すべての管理者およびリモートアクセスアカウントに多要素認証(MFA)を強制するべきです。
翻訳元: https://www.securityweek.com/sonicwall-ssl-vpn-accounts-in-attacker-crosshairs/
