研究者によると、Akiraランサムウェアを使用するハッカーが、この脆弱性を大量に悪用している可能性があるという。
研究者によると、最近発生したSonicWallファイアウォールデバイスを標的としたランサムウェア攻撃の波は、これら製品のゼロデイ脆弱性に関連している可能性があるという。
7月15日から始まったSonicWall SSL VPNを利用したVPNアクセスによる異常なファイアウォール活動は、翌週には侵入へと発展したと、Arctic Wolfの研究者は述べている。
「これまでに確認した限りでは、SonicOSデバイスに影響が及んでいるようです」と、Arctic Wolfのリード脅威インテリジェンス研究者Stefan Hostetler氏はCybersecurity Diveに語った。「調査はまだ初期段階のため、これ以上の詳細は現時点では提供できません。」
研究者によると、ハッカーはSonicWall SSL VPNを侵害した後、手動操作によるAkiraランサムウェアの亜種を展開したという。
同様の活動は2024年にも発生しており、ハッカーがSonicWallの脆弱性を標的とした 事例があり、これはCVE-2024-40766として追跡されている。
Arctic Wolfは、ブルートフォース攻撃やクレデンシャルスタッフィングの可能性を否定できないとしつつも、ハッカーが認証情報をローテーションした完全にパッチ適用済みのSonicWallデバイスを侵害した複数の事例を確認したと述べている。また、同社は多要素認証を使用していたシステムが侵害された事例も確認している。
SonicWallの広報担当者は、現時点でコメントを得られていない。
翻訳元: https://www.cybersecuritydive.com/news/ransomware-zero-day-flaw-sonicwall-devices/756641/