不適切にパッチ適用されたSonicWallファイアウォールを標的とするランサムウェア集団

1年前にアクセス制御の脆弱性に対してパッチが適用されるべきだった脆弱なSonicWallファイアウォールが、ランサムウェア集団によってハッキングされていると、オーストラリアのサイバーセキュリティ当局が今週警告しました。

オーストラリア・サイバーセキュリティセンターは、SonicWallファイアウォール（SSL VPN有効）における2024年の重大な脆弱性の積極的な悪用が同国で増加していると発表しています。「私たちは、AkiraランサムウェアがSonicWall SSL VPNを通じて脆弱なオーストラリアの組織を標的にしていることを認識しています」と警告しています。

CVE-2024-40766は、ちょうど1年前にパッチが提供されたSonicWall SonicOS管理システムアクセスにおける不適切なアクセス制御の脆弱性です。これにより、不正なリソースアクセスや、特定の条件下でファイアウォールのクラッシュにつながる可能性があります。この問題は、SonicWall Firewall Gen 5およびGen 6デバイス、ならびにSonicOS 7.0.1-5035およびそれ以前のバージョンを実行しているGen 7デバイスに影響します。

「ファームウェアを更新した後に認証情報を更新するという緩和策を完全に実施していない場合、組織は依然として脆弱なままです」とオーストラリアの警告は強調しています。

Rapid7の研究者も今週、インシデント対応チームが「SonicWallアプライアンスに関与する侵入が増加しているのを観測している」と報告しました。

「最近のSSLVPNの活動はゼロデイ脆弱性とは無関係であると高い確信を持っています」と付け加えています。「代わりに、CVE-2024-40766に関連する脅威活動との間に大きな相関があります。」

これらの警告は、SonicWallが「SSLVPNが有効なGen 7およびそれ以降のファイアウォールに関連する40件未満のインシデントを調査している」と8月に通知したことを受けたものです。

「多くのインシデントは、Gen 6からGen 7ファイアウォールへの移行時に、ローカルユーザーパスワードが移行されリセットされなかったことに関連しています」とSonicWallは述べています。「パスワードのリセットは元の勧告で重要なステップとして示されていました。」

これはオーストラリアだけへの攻撃ではないと、サイバーセキュリティ企業Recorded Futureの現場セキュリティ対応チームのメンバーであるAlan Liska氏はインタビューで述べています。

「AkiraがこのSSL VPNを悪用した最初の報告は、少なくとも1月、あるいはそれ以前に米国と英国で確認されています」と彼は述べました。

Akiraランサムウェア・アズ・ア・サービス集団の関係者が背後にいると彼は付け加えました。

残念ながら、Liska氏によれば、SonicWallデバイスは専任のITやセキュリティチームがパッチ適用を監督していない小規模組織で運用されていることが多いとのことです。「ランサムウェア攻撃者がVPNを標的にして大きな成功を収めている理由の一つは、他のシステムよりも長期間パッチが適用されない傾向があるためです。」

今回の場合、パッチをインストールするだけでなく、管理者ユーザーのパスワードを直ちに変更する必要があったと彼は述べました。

Veeamの研究者によると、「[Akiraランサムウェア]は、今日の組織に影響を与える最も執拗で破壊的なサイバー脅威の一つとしての評判を確立しています。AkiraはVeeamのケースデータによるCovewareで6四半期連続でトップの座を維持し、2024年には全ランサムウェアインシデントの14％を占めました。」通常、レポートによれば、集団のメンバーはVPNやWindows RDPなど公開されたリモートアクセスサービスを通じて盗まれた認証情報を使いITネットワークに侵入します。その後、恐喝目的でデータをコピーし、VMware ESXiサーバーを狙ってデータを暗号化します。

カナダのインシデント対応会社Digital Defenceの代表であるRobert Beggs氏は、Akiraランサムウェア集団が未パッチのSonicWallファイアウォールを自動検出・悪用するシステムを開発したと考えています。

「攻撃者が報告された脆弱性を標的にする前に、ほとぼりが冷めるのを待つのは珍しいことではありません」と彼は付け加えました。「SonicWall VPNのようなエッジセキュリティ製品の既知の脆弱性にパッチを適用しない企業は、全体的にサイバーセキュリティが不十分であり、格好の標的となります。」

Recorded FutureのLiska氏は、IT環境にSonicWallファイアウォールを導入しているCISOやITリーダーに対し、デバイスが完全にパッチされており、最新バージョンのSonicOSが稼働していること、そして管理者パスワードを変更することを推奨しています。カナダ・サイバーセキュリティセンターも、Gen 6からGen 7への移行時にパスワードが引き継がれた場合は特に、管理者パスワードの変更が重要だと付け加えています。顧客はVPNアクセス権を持つ人数を制限することも検討すべきです。

ランサムウェアの被害に遭うリスクを下げるために、IST（Institute for Security and Technology）ランサムウェアタスクフォースのメンバーでもあるLiska氏は、組織が以下を実施するべきだと述べています：

• インターネットに公開されている全システムに対し、修正がリリースされ次第すぐにパッチを適用する；
• 全ユーザーに対してフィッシング耐性の多要素認証を有効にする；
• 漏洩した認証情報がないかインターネットを監視する；
• 従業員向けに定期的なフィッシング対策セキュリティ啓発キャンペーンを実施する。

CISOは、さらなるヒントとしてISTのランサムウェア防御のための青写真も参照できます。