SonicWallは、過去数週間にわたりSonicWall Gen 7ファイアウォールの未知のセキュリティ脆弱性を利用してネットワークに侵入するランサムウェア集団が存在する可能性があるとして、顧客にSSLVPNサービスの無効化を警告しました。
この警告は、Arctic Wolf Labsが金曜日に報告した、7月15日以降、SonicWallのゼロデイ脆弱性を利用した可能性が高い複数のAkiraランサムウェア攻撃を観測したことを受けて発せられたものです。
「このキャンペーンにおける初期侵入手法はまだ確認されていません」とArctic Wolf Labsの研究者は述べています。「ゼロデイ脆弱性の存在は非常にあり得ますが、ブルートフォース攻撃、辞書攻撃、クレデンシャルスタッフィングによる認証情報の取得も、すべてのケースで完全には否定されていません。」
Arctic Wolfもまた、SonicWall管理者に対し、これらの攻撃でSonicWallのゼロデイ脆弱性が悪用されている可能性が高いため、SonicWall SSL VPNサービスを一時的に無効化するよう金曜日に助言しました。
サイバーセキュリティ企業Huntressも月曜日にArctic Wolfの調査結果を確認し、このキャンペーンを調査する中で収集した侵害の指標(IOC)を公開しました。
「SonicWall VPNのゼロデイ脆弱性が積極的に悪用され、MFAを回避してランサムウェアが展開されています」とHuntressは警告しています。「Huntressは、VPNサービスを直ちに無効化するか、IP許可リストによるアクセスの厳格な制限を推奨します。初期侵入から数時間以内に、攻撃者がドメインコントローラーへ直接移動しているのが確認されています。」
同日、SonicWallもこのキャンペーンを認識していることを確認し、顧客に対し継続中の攻撃からファイアウォールを守るため、以下の対策を講じるよう勧告を発表しました:
- 可能な限りSSL VPNサービスを無効化すること、
- SSL VPN接続を信頼できる送信元IPアドレスのみに制限すること、
- Botnet ProtectionやGeo-IP Filteringなどのセキュリティサービスを有効化し、SSL VPNエンドポイントを標的とする既知の脅威アクターを特定・遮断すること、
- 認証情報の悪用リスクを最小限に抑えるため、すべてのリモートアクセスに多要素認証(MFA)を強制すること、
- 使用していないアカウントを削除すること。
「過去72時間にわたり、SSLVPNが有効化されたGen 7 SonicWallファイアウォールに関する、社内外からのサイバーインシデント報告が顕著に増加しています」と同社は述べています。
「これらのインシデントが既知の脆弱性に関連しているのか、あるいは新たな脆弱性が原因であるのかを特定するため、現在積極的に調査を進めています。調査が続く間、上記の緩和策を直ちに適用し、被害を最小限に抑えるようご注意ください。」
2週間前、SonicWallは管理者に対し、SMA 100アプライアンスに存在する重大なセキュリティ脆弱性(CVE-2025-40599)に対するパッチ適用を呼びかけました。この脆弱性は、未修正のデバイスでリモートコード実行が可能になる恐れがあります。
攻撃者がCVE-2025-40599を悪用するには管理者権限が必要であり、現時点でこの脆弱性の積極的な悪用の証拠はありませんが、同社は顧客に対し、SMA 100アプライアンスのセキュリティ強化を強く推奨しています。なぜなら、これらのデバイスはすでに認証情報を悪用した攻撃で新たなOVERSTEPルートキットマルウェアを展開する標的となっているからです。
