新たな認証情報を利用した攻撃の波が、十数の組織にわたり100件以上のSSLVPNアカウントに影響を与えています。
SonicWallがMySonicWallクラウドバックアッププラットフォームからデータが漏えいした事件を公表してから数週間後、Huntressの新たな調査結果によると、状況はまだ収束していません。今回はSonicWall SSLVPNの新たな侵害の波が指摘されています。
Huntressによると、SonicWall SSLVPNデバイスを標的とした新たな侵害が10月初旬に発生し、少なくとも16の組織と100件以上のアカウントが影響を受けました。以前のクラウド側の侵害とは異なり、今回の侵入では攻撃者が有効な認証情報を使ってVPN機器にログインしています。
「10月10日時点で、Huntressは複数の顧客環境においてSonicWall SSLVPNデバイスの大規模な侵害を確認しています」とHuntressはブログ投稿で述べています。「脅威アクターは、侵害されたデバイス上で複数のアカウントに急速に認証しています。攻撃の速度と規模から、攻撃者が有効な認証情報を保持していることが示唆され、ブルートフォースではないようです。」
SonicWallは、9月の事件でファイアウォール設定のバックアップファイル(暗号化された認証情報や設定データを含む)に不正アクセスがあったと警告していましたが、Huntressが発見した侵害で使われた認証情報が同じ事件に由来するかどうかは不明です。
SonicWallはCSOのコメント要請にすぐには応じませんでした。
攻撃者は侵入ではなくログインしている
9月のSonicWallによる公表は、MySonicWallクラウドバックアップサービスの侵害に関するもので、設定ファイルへの不正アクセスが「全顧客の5%未満」に影響したとされています。
しかし、Huntressの新たな発見は、別の認証情報を利用した攻撃キャンペーンを示しています。10月4日頃から、Huntressは攻撃者が管理するIPアドレス(特に202.155.8[.]73)からSonicWall SSLVPNデバイスへの大量のログインを観測しました。多くのログインセッションは短時間でしたが、一部ではネットワーク内部の偵察やWindowsアカウントへのアクセス試行が行われており、横展開の試みが示唆されます。
「この(SonicWallの)アドバイザリと、我々が最近観測した侵害の急増を結びつける証拠はありません」とHuntressは述べ、さらに「我々の視点からは、その活動を識別できるような証拠は存在しない可能性が高い」と付け加えています。
たとえ脅威アクターが9月の侵害で漏えいしたファイルを解読できたとしても、認証情報は暗号化された形式でしか見えない、とSonicWallのアドバイザリは指摘していました。つまり、現在SonicWallデバイスにログインしている者は、これらのバックアップファイルから認証情報を入手したわけではない可能性が高いです。
防御側が注意すべき点
Huntressは、いくつかのケースでSSLVPN認証の成功後に内部偵察トラフィックやWindows管理者アカウントへのアクセス試行が続いたことを指摘しています。また、同じパブリックIPからの繰り返しのログインは、ランダムな認証情報の使い回しではなく、組織的な攻撃キャンペーンを示唆する可能性があります。
SonicWallのアドバイザリで示された対策に加え、HuntressのブログはSonicWallデバイスを利用する組織向けに追加の防御策を提案しています。管理者に対しては、リモート管理インターフェースの制限、すべての認証情報とシークレットのリセット、SSLVPNログの異常な認証の確認、可能な限り多要素認証(MFA)の有効化を推奨しています。
SonicWall製品は脅威グループの標的となり続けており、最近の攻撃では適切にパッチが適用されていないファイアウォールが悪用されています。Akiraランサムウェアグループは、SonicWall機器の既知のアクセス制御の脆弱性(CVE-2024-40766)を悪用しました。今年初めにも、顧客に対して重大な認証バイパスやルートキット型バックドアの脅威について警告が出されていました。
