研究者は、脅威アクターが盗まれた有効な認証情報を使用した大規模なキャンペーンで、100件以上のSonicWall SSLVPNアカウントを侵害したと警告しています。
攻撃者が短時間で切断したケースもある一方で、ネットワークスキャンやローカルWindowsアカウントへのアクセス試行を行ったケースもありました。
この活動のほとんどは10月4日から始まり、マネージドサイバーセキュリティプラットフォームHuntressが複数の顧客環境で観測しました。
「脅威アクターは、侵害されたデバイス上で複数のアカウントに迅速に認証しています」と研究者は述べ、「これらの攻撃の速度と規模から、攻撃者がブルートフォースではなく有効な認証情報を制御しているように見える」と付け加えました。
この攻撃は、Huntressが保護する16の環境で100件以上のSonicWall SSLVPNアカウントに影響を与えており、10月10日現在も継続している大規模なキャンペーンであることを示しています。
ほとんどの場合、悪意のあるリクエストはIPアドレス202.155.8[.]73から発信されていたと研究者は述べています。
認証ステップの後、Huntressは攻撃の偵察およびラテラルムーブメント(横展開)に特有の活動を観測し、脅威アクターが多数のローカルWindowsアカウントへアクセスを試みていました。
Huntressは、今回観測された一連の侵害が、最近発生したSonicWallの全クラウドバックアップ顧客のファイアウォール設定ファイルが流出した事案と関連している証拠は見つからなかったと強調しています。
これらのファイルには非常に機密性の高いデータが含まれているため、エンコードされており、内部の認証情報やシークレットは個別にAES-256アルゴリズムで暗号化されています。
攻撃者がファイルをデコードできたとしても、認証パスワードやキーは暗号化された状態で表示されると、ネットワークセキュリティ企業は説明しています。
BleepingComputerは、Huntressの研究者が観測した活動についてSonicWallにコメントを求めましたが、声明はすぐには得られませんでした。
SonicWallのセキュリティチェックリストによると、システム管理者は以下の保護措置を講じる必要があります:
- すべてのローカルユーザーパスワードおよび一時アクセスコードのリセットと更新
- LDAP、RADIUS、またはTACACS+サーバーのパスワードの更新
- すべてのIPSecサイト間およびGroupVPNポリシーのシークレットの更新
- L2TP/PPPoE/PPTP WANインターフェースのパスワードの更新
- L2TP/PPPoE/PPTP WANインターフェースのリセット
Huntressは、必要ない場合はWAN管理およびリモートアクセスを直ちに制限し、すべてのシークレットがローテーションされるまでHTTP、HTTPS、SSH、SSL VPNを無効化または制限する追加対策を提案しています。
外部APIキー、ダイナミックDNS、SMTP/FTP認証情報も無効化し、ファイアウォールや管理システムに関連する自動化シークレットも無効化する必要があります。
すべての管理者およびリモートアカウントには多要素認証を適用する必要があります。サービスの再導入は段階的に実施し、各ステップで不審な活動がないか監視する必要があります。
