セキュリティ研究者は、SonicWallファイアウォールを初期アクセスのために標的としたランサムウェア攻撃の急増が最近観測されており、潜在的なゼロデイ脆弱性が悪用されている可能性があると警告しています。
Google Threat Intelligence Group(GTIG)は、7月中旬に新たな活動の波を最初に警告しました。このとき、過去の攻撃で盗まれたログイン情報が、既知の脆弱性に対して完全にパッチが適用されたSonicWallアプライアンスの侵害に利用された可能性が高いと指摘されました。
観測されたインシデントの一環として、攻撃者は「Overstep」と呼ばれる新しいバックドア/ユーザーモードルートキットを展開しており、これは永続化とデータ窃取のためにデバイスのブートプロセスを改変するよう設計されていました。
同時に、GTIGは、UNC6148として追跡されている攻撃の背後にいる脅威アクターが、「機会的に標的とされたSonicWall SMAアプライアンスにOverstepを展開するため、未知のゼロデイリモートコード実行脆弱性を使用した可能性がある」と指摘しました。
8月初旬には、サイバーセキュリティ企業Arctic WolfとHuntressが、MFAを回避するためにSonicWallアプライアンスを標的としたサイバー攻撃について新たな警告を発し、SonicWallも活動の急増を認め、ゼロデイ悪用の可能性を調査していると述べました。
「これらのインシデントが以前に公開された脆弱性と関連しているのか、それとも新たな脆弱性が原因なのかを特定するため、積極的に調査を進めています」とSonicWallは月曜日に述べました。
Arctic Wolfは、SonicWall SSL VPNを介したVPNアクセスを含む攻撃を観測しており、収集された証拠がゼロデイ脆弱性を示していると述べています。
「一部のケースでは、完全にパッチが適用されたSonicWallデバイスが認証情報のローテーション後に影響を受けました。TOTP MFAが有効化されていたにもかかわらず、アカウントが侵害されたケースもありました」と同社は述べています。
広告。スクロールして続きをお読みください。
Huntressもまた、MFAが有効化されているアプライアンスに対する攻撃の成功を警告しており、攻撃者が初期アクセスから数時間以内にドメインコントローラーへピボットしている様子が確認されています。
「この活動に関連するテレメトリの調査中、今回の侵害はSSLVPNが有効化されたTZおよびNSaシリーズのSonicWallファイアウォールに限定されている可能性を示唆する証拠が見つかりました。疑わしい脆弱性がファームウェアバージョン7.2.0-7015以前に存在することを確認しています」とHuntressは述べています。
このキャンペーンはSSLVPNが有効化されたGen 7 SonicWallファイアウォールを標的としており、SonicWallは顧客に対し、SSLVPNサービスの無効化、SSLVPN接続を信頼できるIPに限定、脅威活動を検知するためのセキュリティサービスの有効化、MFAの強制、未使用アカウントの削除、全パスワードの更新を推奨しています。
「引き続き調査を進める間、上記の緩和策を直ちに適用し、被害リスクを低減するようご注意ください」とSonicWallは述べています。
関連記事: SonicWall、重大なSMA 100脆弱性にパッチを適用、最近のマルウェア攻撃について警告
関連記事: Apple、Chromeを標的としたSafariの脆弱性にパッチを適用
翻訳元: https://www.securityweek.com/sonicwall-hunts-for-zero-day-amid-surge-in-firewall-exploitation/