研究者たちは最近、SonicWallの脆弱性に関連したAkiraランサムウェア攻撃の急増について警告しました。
SonicWallは月曜日、最近増加しているGen 7ファイアウォールを標的とした攻撃が、ゼロデイ脆弱性によるものか、または既存の脆弱性の悪用によるものかを調査していると発表しました。
この警告は、8月1日のArctic Wolfの レポートを受けたもので、ハッカーが7月15日から始まった攻撃でAkiraランサムウェアの亜種を展開していることが報告されました。
研究者たちは先週、手動操作による攻撃活動の増加を確認し、ユーザーが認証情報を変更した後でも、完全にパッチが適用されたデバイスが標的にされていると警告しました。
SonicWallは、現在の攻撃が、昨年発生した不適切なアクセス制御の脆弱性(CVE-2024-40766として追跡)に関与した一連のハッキングと類似していると述べています。
Huntressの研究者は月曜日、ハッカーが多要素認証を回避し、ランサムウェアを展開するという活動が、ゼロデイ脆弱性の存在を示唆している可能性が高いと述べました。Huntressは7月25日以降、約20件の同様の攻撃を観測しています。
Huntressの主任セキュリティ研究者であるジョン・ハモンド氏は、活動範囲の広さから選択肢が絞られるため、ゼロデイとの関連性について中程度から高い確信を持っていると述べました。
「正直なところ、まだ最終的な結論や根本原因の分析には至っていません」とハモンド氏はCybersecurity Diveに語りました。「しかし、これほど広範囲にブルートフォース認証情報やMFAバイパスが見られるのは、正しい答えとは思えません。」
Huntressによると、侵害はSonicWallのSSLVPNが有効なTZおよびNsaファイアウォールに限定される可能性があります。さらに、脆弱性はバージョン7.2.0-7015以前に関係していると研究者は述べています。
Sophosは、Sophos Counter Threat Unitの脅威リサーチディレクター、アレクサンドラ・ローズ氏によると、7月23日以降、管理型検知・対応ソフトウェアまたはインシデント対応を通じて10件のインシデントを検知したと報告しています。
「現在の観測は主に米国の組織からですが、これは米国だけが影響を受けていることを示すものではありません」とローズ氏は述べました。
SonicWallは、可能な場合はSSLVPNサービスを無効にし、そうでない場合は信頼できるソースのみにSSL VPNを制限するよう顧客に強く求めています。また、多要素認証の徹底、ボットネットフィルタリングおよびGeo-IPフィルタリングの有効化も推奨しています。さらに、未使用のアカウントは削除し、すべてのユーザーにパスワードの更新を促すべきだとしています。
最新情報を入手しましょう。Cybersecurity Diveの無料デイリーニュースレターに登録してください。
SonicWallデバイスは、ここ数か月で一連の攻撃キャンペーンに直面しています。7月中旬、Googleの研究者はUNC6148として追跡されている脅威アクターが、サポート終了となったSonicWall SMA 100アプライアンスを標的にしていると警告しました。
翻訳元: https://www.cybersecuritydive.com/news/sonicwall-zero-day-firewall-attacks/756806/