Huntressによると、100件以上のSonicWall SSLVPNアカウントが影響を受けています。
研究者たちは、ハッカーが攻撃を開始したことで、SonicWall SSLVPNデバイスの広範な侵害について警告しています。どうやらブルートフォース手法ではなく、実際の認証情報を用いているようです。Huntressの金曜日のブログ投稿によるととのことです。
「彼らは有効な認証情報を持っているようです」とHuntressのアドバーサリー戦術ディレクター、ジェイミー・レヴィ氏はCybersecurity Diveに語りました。「彼らが事前のブルートフォース攻撃なしに複数のアカウントへ直接ログインしている速度から、彼らが有効な認証情報を持っているか、もしくは別の方法でログインする手段を見つけたことが示唆されます。」
この攻撃の波は10月4日に始まり、同時にSonicWallが同社のMySonicWallクラウドバックアップサービスの広範な侵害について別途アップデートを発表しました。
Huntressが警告した攻撃では、16の顧客環境において100件以上のSonicWall SSLVPNアカウントが侵害されました。SSLVPN攻撃とMySonicWall侵害の間に何らかの関連があるかどうかは依然として不明です。
研究者によると、場合によってはハッカーが迅速に該当ネットワークから切断した一方、他の場合では攻撃者がスキャンを行い、ローカルのWindowsアカウントへのアクセスを試みていました。
これらの攻撃は8月に報告されたものといくつかの類似点があります。研究者たちはGen 7ファイアウォールを標的とした一連の攻撃を調査しており、これらはAkiraランサムウェアと関連付けられていました。
研究者はゼロデイ脆弱性が利用されている可能性についても懸念を示しましたが、SonicWallは調査の結果、攻撃は以前に公開された不適切なアクセス制御の脆弱性が関与していたと発表しました。
SonicWallは、8月の多くの攻撃が次世代ファイアウォールへのアップグレード後に顧客が古いローカルパスワードを使用し続けていたことが原因だと述べました。当時SonicWallは、顧客にローカルおよびLDAPアカウントの認証情報を変更するよう促していました。
SonicWallによるそのような説明にもかかわらず、研究者たちは新たな一連の攻撃が同時に発生しているように見えることについて懸念を示しました。
Huntressの研究者は自らの調査結果をSonicWallに通知しましたが、月曜日時点でまだ返答は得られていません。SonicWallの広報担当者はCybersecurity Diveからのコメント要請にも応じませんでした。
翻訳元: https://www.cybersecuritydive.com/news/sonicwall-sslvpn-devices-compromised/802716/
