研究者や当局は、SonicWallファイアウォールに影響を与える1年前の脆弱性を悪用したAkiraランサムウェア攻撃が増加していると警告しています。
約40件の攻撃がCVE-2024-40766に関連して、7月中旬から8月上旬にかけてSonicWallファイアウォールを襲いました。研究者らはその後も、複数バージョンのSonicWallファイアウォールにおけるセキュアソケットレイヤー(SSL)VPNプロトコルの脆弱性や設定ミスを悪用した、さらなるランサムウェア攻撃の波を観測しています。
Rapid7は、被害者環境における脆弱性および一連の設定ミスに関連した「二桁件数の攻撃」に対応したと述べており、今週初めに公開したブログで詳細を明らかにしました。
オーストラリア・サイバーセキュリティセンターも水曜日に勧告を発表し、同様にこの脆弱性の積極的な悪用の増加に対応していると述べました。「私たちは、SonicWall SSL VPNを通じて脆弱なオーストラリアの組織を標的とするAkiraランサムウェアを認識しています」と同機関は述べています。
Rapid7のインシデント対応チームはCyberScoopに対し、7月以降攻撃が着実に増加しており、顧客の間で週に複数件のインシデントが発生することもあると語りました。Rapid7の可視範囲が限定的であることから、影響はさらに広範囲に及ぶ可能性があります。
この脆弱性を2024年8月に最初に公表したSonicWallは、コメントの要請に応じませんでした。以前にパッチが適用されたものの、適切に設定されていないデバイスが多くの侵害された環境で確認されています。
「私たちのチームが対応している大多数のケースでは、SonicWallファイアウォールはCVE-2024-40766を修正するバージョンにアップグレードされています」とRapid7のインシデント対応チームはメールで述べています。「しかし、ローカルパスワードの変更という修正ステップが完了しておらず、そのため攻撃者がデバイスへの不正アクセスを可能にしていました。」
SonicWallは先月、7月下旬の多くの攻撃が、Gen 6からGen 7ファイアウォールへ移行した際にパスワードをリセットしなかった顧客に関与していたと述べました。Rapid7によると、その後も複数の設定ミスにより顧客が被害を受けています。
研究者らは、攻撃者がデフォルトの軽量ディレクトリアクセスプロトコル(LDAP)グループ設定を悪用し、SonicWallのSSL VPNサービスへのアクセス権を過剰に付与していることを特定しました。攻撃者はまた、SonicWallデバイス上のバーチャルオフィスポータルにもアクセスしており、これはおそらく、侵害された認証情報を持つユーザーや多要素認証が設定されていないアカウントを探すためだとRapid7は述べています。
SonicWallデバイスを標的とした攻撃の根本原因は、研究者が7月の最初の攻撃でゼロデイ脆弱性が関与している可能性を示唆して以来、変化しています。SonicWallは8月初旬にそれを否定し、さらなる攻撃が発見される中で、攻撃の原因をCVE-2024-40766に特定しました。
SonicWallの顧客は、積極的に悪用される脆弱性に慣れています。このベンダーは2021年末以降、CISAの既知の悪用脆弱性カタログに14回登場しています。そのうち9件の脆弱性がランサムウェアキャンペーンで使用されていることがCISAにより知られています。
Rapid7は、最近のSonicWallファイアウォールに関連するすべての攻撃をAkiraランサムウェアによるものとしています。
Akiraのアフィリエイトは通常、被害者を脅迫する前にデータを盗み、システムを暗号化します。Akiraランサムウェアは2023年3月から2024年1月までに250以上の組織に影響を与え、約4,200万ドルの恐喝金を得たとCISAは昨年の勧告で述べています。
翻訳元: https://cyberscoop.com/sonicwall-akira-ransomware-attacks-surge/