同社は、Gen 6からGen 7ファイアウォールへの移行時に顧客がレガシー認証情報を使用していたことが、最近のハッキングと関連していると述べました。
SonicWallは水曜日の夜、7シリーズSonicWallを標的とした攻撃の波が7月以降、以前に公開された不適切なアクセス制御の脆弱性を利用したものであり、ゼロデイ脆弱性ではなかったと発表しました。
同社によると、ランサムウェアを含むこれらのハッキングは、CVE-2024-40766という脆弱性に関連しており、これによりファイアウォールがクラッシュする可能性があります。SonicWallの担当者によれば、影響を受けた顧客はGen 6からGen 7ファイアウォールへの移行時にレガシー認証情報を使用していました。
研究者たちは、これらの攻撃がゼロデイ脆弱性に関連している可能性が高いと強く疑っていましたが、Arctic Wolfの研究者は以前から、この活動がCVE-2024-40766を使った過去の攻撃と類似していると述べていました。
「私たちは、これらのアプライアンスへの侵害やアクセスが、いくつかの異なるファームウェアバージョンや、かなり幅広いGen 7ファイアウォールアプライアンスに及んでいる証拠を持っていました」と、Huntressのシニアハントレスポンスアナリスト、Michael Tigges氏はCybersecurity Diveに語りました。「そして、通常このような攻撃者の行動の変化が見られる場合、彼らは何かを発見したということです。」
最近の侵入キャンペーンは7月に始まり、ハッカーたちは一連の機会的な攻撃でAkiraランサムウェアを展開しました。
SonicWallは、確認された侵害は40件未満であるとし、同社は認証情報の変更方法やSonicOSバージョン7.3.0へのアップグレード方法に関するガイダンスを公開しました。
確認された攻撃の多くは、顧客がアップデートされたファイアウォールへの移行時に同じローカルパスワードを使用し、それらの認証情報を変更しなかった環境で発生しました。SonicWallは、ユーザーがパスワードをリセットすることが重要であるという以前の警告を改めて強調しました。
Huntressの研究者は水曜日の夜、念のため、ユーザーはローカル認証情報とLDAPアカウント認証情報(Active Directory連携で使用される)を両方ともローテーションすべきだと述べました。水曜日時点で、Huntressは28社の顧客が侵害されたと発表しています。
Arctic Wolfを含む他のセキュリティ企業も今週初め、侵入を経験する顧客が増加していると述べており、SonicWallの発表した40件という数字が今後増加する可能性を示唆しています。