出典:Maximum Film(Alamy Stock Photo経由)
ここ数か月でSonicWall VPNの顧客を襲った一連の攻撃は、当初考えられていたよりも深刻かもしれません。
8月初旬、アキラランサムウェアがSonicWall SSL VPNデバイスへの攻撃に使用されたことが明らかになりました。研究者たちは当初はゼロデイ攻撃が関与していると考えていましたが、実際には以前から知られていた重大な脆弱性(CVE-2024-40766として追跡)が、攻撃者による顧客侵害を可能にしていたことが判明しました。このキャンペーンに関連する最初の活動は7月中旬に始まりましたが、同様の悪意あるVPNログインは昨年10月までさかのぼって追跡されています。
Arctic Wolfは9月26日、このキャンペーンの調査結果を拡張したブログ記事を公開し、広範なランサムウェアキャンペーンの可能性を示しました。
SonicWall VPNが「機会的な大規模悪用」の被害に
Arctic Wolf Labsの研究チームによると、「攻撃者は悪意あるSSL VPNログインとワンタイムパスワード(OTP)多要素認証(MFA)チャレンジの成功を通じて初期アクセスを取得し、アキラランサムウェアを展開しました。」
ブログ記事では、SonicWallがこの活動をCVE-2024-40766(悪意あるログインやファイアウォールのクラッシュを可能にするバグ)に関連付けたことから、攻撃対象となった時点で脆弱だったデバイスから認証情報が収集された可能性があると指摘しています。さらに、攻撃者はOTP MFA機能が有効なアカウントも突破することに成功しました。
「悪意あるログインの数分後にはポートスキャン、Impacket SMB(サーバーメッセージブロック)活動、そしてアキラランサムウェアの迅速な展開が行われました」とブログ記事は述べています。「被害者は複数の業界や組織規模に及び、機会的な大規模悪用が示唆されます。このキャンペーンは最近エスカレートしており、2025年9月20日までに関連する新たなインフラが確認されています。」
Arctic Wolf Labsの広報担当者はDark Readingに対し、7月の最初の観測以来、攻撃は一貫して続いており「8月末から9月初旬にかけてやや減少したものの、9月末には再び勢いを増している」と述べました。キャンペーンは現在も継続中です。
さらに悪いことに、Arctic Wolfによると、このキャンペーンでは滞留時間が短い(数時間、場合によっては1時間未満)ことが確認されており、「攻撃者がどのようにしてMFAを突破できたのか、いまだに説明できていません」と認めています。
研究チームは、このアキラキャンペーンがSonicWallが最近被った侵害(攻撃者がMySonicWallサービスを侵害し、顧客の「5%未満」に関連するバックアップファイアウォール設定にアクセスした事件)とは関連していないと考えています。
SonicWall SSL VPNに対するアキラ攻撃の緩和策
このキャンペーンの一環として、さまざまなSonicWallデバイスが標的となっており、特にSonicOS 6および7を実行するNSAおよびTZシリーズのSonicWallデバイスが含まれます。研究者たちは影響を受けたソフトウェアおよびハードウェアバージョンの全容を特定できなかったものの、SonicOSファームウェア6.5.5.1-6n、7.0.1-5065、7.0.1-5119、7.1.2-7019、7.1.3-7015、7.3.0-7012や、ハードウェアモデルNSa 2600、NSa 2700、NSa 4650、NSa 5700、TZ370、TZ470が脆弱であると指摘しています。
最新のガイダンスで、SonicWallは顧客に対し、ファームウェアをバージョン7.3.0に更新し、SSL VPNアクセスを持つすべてのローカルユーザーアカウントのパスワードをリセットするよう推奨しています。しかし、ブログ記事では、研究者が7.3.0を実行しているデバイスでも侵害が確認されたこと、さらにサイバーセキュリティ企業Field Effectの調査によれば、さらに新しいバージョン(8.0.2など)を実行しているファイアウォールも影響を受けていたと述べています。
Arctic Wolf Labsは、SonicWallのガイダンスに基づき、「現在のキャンペーンはCVE-2024-40766の以前の悪用にさかのぼる可能性があり、SonicOS 5、6、7に影響を与えています。この場合、脆弱なファイアウォールから盗まれた認証情報が新しいSonicOSバージョンに持ち越され、ファームウェアを更新した後もデバイスが危険にさらされる可能性があります」とブログ記事で述べています。
SonicWallのガイダンスに加え、Arctic Wolfはファイアウォール利用者に対し、信頼できないホスティングインフラからのVPNログインの監視、内部ネットワークの可視性維持、Impacketの利用を示す異常なSMB活動の監視、そして可能な限り認証情報(MFA関連のシークレットを含む)のリセットを推奨しています。
SonicWallはDark Readingのコメント要請に応じていません。
翻訳元: https://www.darkreading.com/application-security/akira-sonicwall-vpns-broad-ransomware-campaign
