大手セキュリティベンダーは、自社製品にゼロデイ脆弱性が存在するという主張を否定し、顧客に対するランサムウェア攻撃の急増はパスワード管理の不備が原因であると述べました。
今週初めにInfosecurityが報じたように、複数の脅威検知プロバイダーの研究者が、7月下旬にSonicWallの顧客に対するAkiraランサムウェアの侵入が増加していることを観測しました。
「一部のケースでは、認証情報のローテーション後に完全にパッチが適用されたSonicWallデバイスが影響を受けました。TOTP(時限ワンタイムパスワード)MFAが有効になっていたにもかかわらず、アカウントが侵害された事例もありました」とArctic Wolfは主張しています。
しかし本日、SonicWallは声明を更新し、SSLVPNが有効になっているGen 7およびそれ以降のファイアウォールに対する攻撃が成功した別の原因を示唆しました。
「最近のSSLVPNの活動がゼロデイ脆弱性に関連していないことに高い確信を持っています。代わりに、以前に公開され、当社の公開アドバイザリSNWLID-2024-0015で文書化されたCVE-2024-40766に関連する脅威活動との間に重要な相関関係があります」と説明しています。
「現在、このサイバー活動に関連するインシデントは40件未満を調査中です。多くのインシデントはGen 6からGen 7ファイアウォールへの移行に関連しており、移行時にローカルユーザーパスワードが引き継がれ、リセットされていませんでした。パスワードのリセットは、元のアドバイザリで重要なステップとして記載されていました。」
SonicWall顧客への脅威について詳しく読む:ランサムウェア攻撃者による重大なSonicWall SSLVPNバグの悪用
顧客向けの最新アドバイス
セキュリティベンダーは、Gen 6から新しいファイアウォールに設定をインポートしたすべての顧客に対し、パスワードおよび多要素認証(MFA)へのブルートフォース攻撃に対する保護が組み込まれているSonicOS 7.3へのアップデートを強く推奨しました。
「これらの追加保護がない場合、パスワードやMFAへのブルートフォース攻撃がより実行しやすくなります」と警告しています。
SonicWallはまた、Gen 6からGen 7への移行時に引き継がれた場合を含め、SSLVPNアクセス権を持つすべてのローカルユーザーアカウントのパスワードをリセットするよう顧客に呼びかけました。
また、以前のアドバイスも引き続き有効であると付け加えています。すなわち:
- ボットネット保護とGeo-IPフィルタリングを有効にする
- 未使用または非アクティブなユーザーアカウントを削除する
- MFAおよび強力なパスワードポリシーを徹底する
セキュリティベンダーはまた、Arctic Wolf、Google Mandiant、Huntress、Field Effectを含む研究コミュニティの警戒に感謝の意を表しました。
翻訳元: https://www.infosecurity-magazine.com/news/sonicwall-attacks-legacy-bug/