Akiraランサムウェアグループは、SonicWallデバイスへの不正アクセスを得るために、1年前に発見された重大なアクセス制御の脆弱性CVE-2024-40766を積極的に悪用しています。
ハッカーは、このセキュリティ問題を利用して、未修正のSonicWall SSL VPNエンドポイント経由で標的ネットワークへのアクセスを得ています。
SonicWallは昨年8月にCVE-2024-40766のパッチをリリースし、すでに悪用されていることを明記しました。この脆弱性は、認証されていないリソースアクセスを許し、ファイアウォールのクラッシュを引き起こす可能性があります。
当時、SonicWallはアップデートの適用とあわせて、ローカル管理のSSLVPNアカウントを持つユーザーのパスワードリセットを強く推奨していました。
アップデート後にパスワードを変更しない場合、脅威アクターは公開された認証情報を使って有効なアカウントにアクセスし、多要素認証(MFA)や時限ワンタイムパスワード(TOTP)システムを設定して侵入する可能性があります。
Akiraは、2024年9月からこの脆弱性を積極的に悪用した最初のランサムウェアグループの一つでした。
昨日、オーストラリア・サイバーセキュリティセンター(ACSC)は、新たな悪意ある活動について組織に警告し、即時対応を呼びかけました。
「ASDのACSCは、オーストラリア国内でSonicWall SSL VPN(CVE-2024-40766)の2024年重大な脆弱性が積極的に悪用されている事例が最近増加していることを把握しています」と勧告に記載されています。
「私たちは、AkiraランサムウェアがSonicWall SSL VPNを通じて脆弱なオーストラリアの組織を標的にしていることを認識しています」とオーストラリア・サイバーセキュリティセンターは述べています。
サイバーセキュリティ企業Rapid7も同様の観測結果を報告しており、SonicWallデバイスへのAkiraランサムウェア攻撃が最近再燃しており、これは不完全な対策に起因している可能性が高いとしています。
Rapid7は、デフォルトユーザーグループの広範なアクセス権限を悪用してVPNに認証・接続したり、SonicWallデバイスのバーチャルオフィスポータルのデフォルト公開アクセス権限を悪用したりする侵入手法を指摘しています。
この活動により、最近サイバーセキュリティコミュニティ内で混乱が生じており、多くの報告でランサムウェアアクターがSonicWall製品のゼロデイ脆弱性を積極的に悪用しているとされています。
ベンダーは新たなセキュリティ勧告を公開し、「最近のSSLVPN活動がゼロデイ脆弱性に関連していないと高い確信を持っている」とし、「CVE-2024-40766に関連する脅威活動との有意な相関を発見した」と述べています。
先月、SonicWallはこの活動に関連するセキュリティインシデントを最大40件調査中であると述べていました。
CVE-2024-40766は以下のファイアウォールバージョンに影響します:
- 第5世代:バージョン5.9.2.14-12o以前のSOHOデバイス
- 第6世代:バージョン6.5.4.14-109n以前の各種TZ、NSA、SMモデル
- 第7世代:SonicOSビルドバージョン7.0.1-5035以前のTZおよびNSAモデル
システム管理者は、ベンダーが関連する通達で提供しているパッチ適用および緩和策のアドバイスに従うことが推奨されます。
管理者は、ファームウェアバージョン7.3.0以降へのアップデート、SonicWallアカウントのパスワード変更、多要素認証(MFA)の強制、SSLVPNデフォルトグループのリスク緩和、バーチャルオフィスポータルのアクセスを信頼できる/内部ネットワークに制限することが推奨されます。
