出典:Michael Vi(Alamy Stock Photo経由)
Akiraランサムウェアは、SonicWallファイアウォールデバイスのゼロデイ脆弱性と思われるものを標的に、侵入活動が急増していることが研究者によって明らかになりました。これは、ここ数カ月でネットワーク機器ベンダーのデバイスに対する攻撃が増加している流れに加わるものです。
Arctic Wolfの研究者は、7月15日からSonicWall SSL VPNを初期アクセスのために標的とする脅威グループの活動が増加したことを観測しましたが、「少なくとも2024年10月以降、ある程度同様の悪意あるVPNログインが確認されている」とSonicWallの上級脅威インテリジェンス研究者であるJulian Tuin氏はブログ投稿で8月1日に述べています。
「調査した侵入の中で、短期間に複数のランサムウェア前の侵入が観測され、それぞれにSonicWall SSL VPNを介したVPNアクセスが含まれていました」と彼は書いています。具体的には、SSL VPNアカウントへの初期アクセスとランサムウェアによる暗号化の間隔が短いことが観測されており、これはAkiraがSonicWallデバイスを標的にした過去のArctic Wolfによる観測と類似しています。
研究者たちは侵入手法としてブルートフォースや辞書攻撃、クレデンシャルスタッフィングの可能性も否定していませんが、攻撃者が未公開のゼロデイ脆弱性を利用していることを示唆する証拠があるとしています。その理由は、「完全にパッチが適用されたSonicWallデバイスが認証情報のローテーション後にも影響を受けていた」ケースや、時間ベースのワンタイムパスワード多要素認証(TOTP MFA)が有効化されていたにもかかわらず一部アカウントが侵害されたケースがあったためだとTuin氏は述べています。
SonicWallは本日、コメントの要請に即時対応できませんでしたが、現時点では新たに発見された脆弱性の詳細や、実際に悪用されている事実については発表していません。
SonicWallへの継続的な攻撃
SonicWallのルーター、VPN、その他のネットワークセキュリティ技術は、侵害された場合に得られる特権の大きさから、多くの脅威アクターにとって魅力的な標的となっており、ここ数カ月でそれらを悪用する活動が急増しています。
実際、先週米国サイバーセキュリティ・インフラストラクチャ庁(CISA)は、SonicWallの過去の2つの脆弱性、CVE-2023-44221およびCVE-2024-38475を、既知の悪用済み脆弱性(KEV)カタログに追加しました。これらの脆弱性は一連の安全なリモートアクセス製品に影響し、リモートからOSコマンドの注入やURLをファイルシステムの場所にマッピングすることが可能です。
その前には、7月中旬にAbyssランサムウェアグループと関連する脅威アクターが、ゼロデイ脆弱性を悪用し、完全にパッチが適用されたサポート終了済みのSonicWall Secure Mobile Access(SMA)100シリーズデバイスに、過去の侵入で盗まれたローカル管理者認証情報やワンタイムパスワードのシードを用いて新たなバックドアを設置していました。また5月には、SonicWallが統合型セキュアアクセスゲートウェイデバイスに影響する3つの高深刻度脆弱性を修正しましたが、そのうちの1つはすでに実際に悪用されていました。
2023年4月に登場し、急速にランサムウェアの上位に躍り出たAkiraは、初期アクセスのためにSonicWallの脆弱性を標的にしてきた経歴があります。昨年9月には、研究者が同グループのランサムウェアアフィリエイトが、SonicWallが約1年前にGen 5、Gen 6、および一部のGen 7ファイアウォール製品で公開・修正した重大なリモートコード実行(RCE)脆弱性を悪用しているのを観測しています。
今すぐ緩和策を講じる
Akiraによる攻撃対象となっていると疑われる脆弱性は特定されておらず、したがってパッチも提供されていないため、Arctic Wolf Labsは防御側に対し、今すぐ緩和策を講じて被害を防ぐよう推奨しています。Tuin氏によれば、その対策にはパッチが提供・適用されるまでSonicWall SSL VPNサービスを無効化することが含まれます。
研究者たちはまた、SonicWallのファイアウォールセキュリティ強化のベストプラクティスを実施すること、例えばボットネット保護などのサービスを有効にしてSSL VPNエンドポイントを標的とする脅威アクターの検出を支援することや、すべてのリモートアクセスにMFAを強制することで認証情報の悪用リスクを低減することを推奨しています。
SonicWallの推奨事項には、特にSSL VPNアクセス権を持つ未使用または不要なローカルファイアウォールユーザーアカウントの削除、強力なパスワード運用の実践、VPN認証用のホスティング関連ASNからのVPN認証を、該当するCIDR(クラスレスドメイン間ルーティング)範囲をブロックすることで遮断することも含まれています。
翻訳元: https://www.darkreading.com/threat-intelligence/akira-sonicwall-firewalls-zero-day