SonicWallは、SSLVPNが有効になっているGen 7ファイアウォールを標的とした最近のAkiraランサムウェア攻撃について、ゼロデイ脆弱性ではなく、以前の脆弱性が悪用されていると発表しました。
同社によると、攻撃者は2024年8月に修正された認証されていないアクセスの脆弱性であるCVE-2024-40766を標的にしているとのことです。
「現在、最近のSSLVPNの活動がゼロデイ脆弱性に関連していないと高い確信を持っています」と、今週公開されたSonicWallの速報の更新には記載されています。
「代わりに、CVE-2024-40766に関連する脅威活動との間に大きな相関関係が認められます。この脆弱性は以前に公開され、弊社の公開アドバイザリSNWLID-2024-0015で文書化されています。」
CVE‑2024‑40766は、SonicOSに存在する重大なSSLVPNアクセス制御の脆弱性であり、攻撃者が脆弱なエンドポイントに不正アクセスし、セッションを乗っ取ったり、保護された環境でVPNアクセスを得ることを可能にします。
この脆弱性は、公開後約1年にわたり広範囲に悪用されており、AkiraやFogランサムウェアのオペレーターが企業ネットワークへの侵入に利用してきました。
金曜日、Arctic Wolf Labsは、Akiraランサムウェアの攻撃パターンを観察した結果、SonicWall Gen 7ファイアウォールにゼロデイ脆弱性が存在する可能性を初めて示唆しました。
SonicWallはすぐに、進行中のキャンペーンを認識していることを確認し、顧客に対し、状況が落ち着くまでSSL VPNサービスを無効にし、信頼できるIPアドレスへの接続のみに制限するよう勧告しました。
40件のインシデントに関する社内調査の結果、ベンダーは自社製品において攻撃者がゼロデイ脆弱性を悪用している可能性を否定しています。
代わりに、SonicWallはAkiraによる攻撃が、Gen 6からGen 7ファイアウォールへの移行時にCVE-2024-40766の緩和策を推奨通り実施しなかったエンドポイントを標的にしていると述べています。
「多くのインシデントは、Gen 6からGen 7ファイアウォールへの移行時に、ローカルユーザーのパスワードがそのまま引き継がれ、リセットされなかったことに関連しています」と、SonicWallは説明しています。
「パスワードのリセットは、元のアドバイザリで重要な手順として記載されていました。」
現在推奨されている対策は、ファームウェアをバージョン7.3.0以降にアップデートし、より強力なブルートフォースおよびMFA保護を利用し、特にSSLVPNで使用されているローカルユーザーパスワードをすべてリセットすることです。
SonicWallはこの最新のアップデートを顧客にもメールで通知しましたが、多くのユーザーがRedditでベンダーの主張の正確性に疑問を呈し、自身の経験とは一致しない点があると述べています。
中には、Gen 7ファイアウォールへの移行前には存在しなかったアカウントで侵害が発生したと指摘し、SonicWallがログの調査を拒否したと主張する声もありました。
これらの矛盾する報告と、SonicWallがアップデートで使用した曖昧な表現が相まって、不確実性が残るため、警戒を怠らず、推奨される対策を直ちに実施することが重要です。
