2026年2月22日から2月25日の間、GreyNoiseはSonicWallファイアウォールを対象とした大規模な偵察活動を観測しました。
合計84,142回のスキャンセッションが実行され、20個の自律システムにまたがる4,000以上のユニークIPアドレスから発信されました。
主にSSL VPN列挙に焦点を当てたこの活動は、ランサムウェアグループが一般的に使用する戦術である認証情報ベースの攻撃のリスク増加を浮き彫りにしています。
SonicWallのSSL VPNインフラは、AkiraやFogなどの悪名高いランサムウェアグループを含むサイバー犯罪者にとって長年の重要な侵入ポイントとなっています。
これらのグループはSonicWall VPN認証情報を成功裏に侵害し、ランサムウェアを展開し、4時間以内に暗号化を実行しています。
GreyNoiseが観測した偵察活動は潜在的な悪用の前兆であり、特にCISAが記録したSonicWall脆弱性の数を考慮する必要があります。
注目すべきことに、7つの脆弱性のうち5つがランサムウェアグループによって悪用されており、これは緊急のセキュリティ懸念となっています。
GreyNoiseの調査結果によると、スキャンキャンペーンは露出しているSonicWallデバイスの攻撃面を系統的にマッピングしており、特にSSL VPN対応デバイスの特定に焦点を当てています。
このキャンペーンは商用プロキシサービスと直接スキャンクラスターの両方を使用して、組織的に実行されました。
この攻撃の主な目的は、より多くのリソースを消費する悪用段階が始まる前に、どのデバイスが認証情報スタッフィング攻撃に脆弱であるかを判断することでした。
スキャンキャンペーンは4つの異なる段階で展開され、2月23日に目立つ31時間の低活動期間がありました。
初期段階のスキャンは1時間あたり3,272セッションのピークに達し、2つの主要パスに焦点を当てていました:VPNステータスチェックAPIとNetExtenderVPNクライアントログインエンドポイント。これらのエンドポイントは、アクティブなVPNサービスを識別するために不可欠であり、認証情報攻撃の前に重要なステップです。
トラフィックの大部分は2つの異なるインフラクラスターから来ました。1つはオランダに拠点を置き、SonicWallとCisco ASAデバイス両方にわたる協調スキャンが含まれていました。2番目はプロキシサービスのByteZeroで、キャンペーントラフィックの32%以上を促進しました。
この大規模な偵察キャンペーンは、特にSonicWall SSL VPNデバイスを使用する組織にとって、プロアクティブなセキュリティ対策の必要性を強調しています。
430,000以上のSonicWallファイアウォールがオンラインで露出しており、多くが既知の脆弱性に対して脆弱であるため、攻撃者の機会は急速に閉じつつあります。
翻訳元: https://cyberpress.org/sonicwall-firewalls-targeted-by-4000-ips/