(画像クレジット:Pixabay)
- Akiraランサムウェアが1年前のSonicWall SSLVPNの脆弱性を悪用し、未修正のGen5~Gen7ファイアウォールを標的にしています
- 攻撃者はデフォルトのLDAPグループ設定やVirtual Office Portalへの公開アクセスも悪用しています
- Rapid7は、Akiraが複数の脆弱性を組み合わせていると警告し、企業に対しシステムのパッチ適用を促しています
SonicWallのSSLVPNインスタンスに存在し、1年以上前に発見・修正された脆弱性が、現在Akiraランサムウェアの運用者によって悪用されていると、セキュリティ研究者が警告しています。
攻撃者は、まだパッチを適用していない、またはリスクを軽減していない企業を狙っています。
Rapid7の専門家が新たに公開したセキュリティアドバイザリによると、Gen5、Gen6、Gen7のファイアウォール機器に影響するSSLVPNの不適切なアクセス制御の脆弱性が、2025年8月から悪用が増加しているとのことです。
リスクの組み合わせ
Rapid7はまた、Akiraが古いファイアウォール機器を狙う以外にも、不正アクセスを得るための他の手段も利用していると述べています。SonicWallは、ファイアウォールのデフォルトユーザーグループのセキュリティリスクに関する追加のセキュリティガイダンスを公開しており、このリスクは(場合によっては)デフォルトのLDAPグループ設定に基づいてサービスへのアクセスを許可してしまう可能性があります。これにより、適切な権限を持たないユーザーがSSLVPNへアクセスできてしまいます。
さらに、攻撃者はSonicWall機器でホストされているVirtual Office Portalにもアクセスしていると述べています。このサービスは、SSLVPNユーザーのMFA/TOTP設定を初期構成するために利用されることがあり、特定のデフォルト設定ではポータルへの公開アクセスが許可されているため、不正利用者が有効な既存アカウントでMFA/TOTPを設定できてしまいます。
「Rapid7の調査で収集された証拠によると、Akiraグループはこれら3つのセキュリティリスクすべてを組み合わせて不正アクセスを獲得し、ランサムウェア攻撃を行っている可能性がある」と研究者は警告しています。
リスクを軽減するために、企業はすべてのSonicWallアカウントのパスワードを変更し、MFAポリシーが正しく構成されていることを確認し、Virtual Office PortalがLAN/内部アクセス(または信頼できるネットワークからのみアクセス可能)に制限されているか確認すべきです。その他の対策として、Virtual Office Portalへのアクセス監視や、すべてのシステムが最新のパッチ状態であることを確認することが挙げられます。
Akiraは少なくとも過去2年間活動しており、エッジデバイスを積極的に標的にしていることで知られていると、研究者は結論付けています。
