はじめに
セキュリティ研究者たちは、盗用された有効な認証情報を使用して、100を超えるSonicWall SSLVPNアカウントが大規模なキャンペーンで侵害されたと警告しています。攻撃者は短期間で接続を切断する場合もありましたが、ネットワークスキャンやローカルWindowsアカウントへのアクセスを試みるケースも確認されています。
この活動のほとんどは10月4日に始まり、マネージドサイバーセキュリティプラットフォームであるHuntressが複数の顧客環境で観測しました。
攻撃の詳細
Huntressの研究者たちは、「脅威アクターは、侵害されたデバイス全体で複数のアカウントに急速に認証を行っている」と述べ、その「攻撃の速度と規模から、攻撃者がブルートフォースではなく、有効な認証情報を制御していることが示唆される」と付け加えています。
この攻撃は、Huntressが保護する16の環境で100以上のSonicWall SSLVPNアカウントに影響を与え、10月10日時点でも進行中の広範囲にわたるキャンペーンであることを示しています。ほとんどの場合、悪意のあるリクエストはIPアドレス 202.155.8[.]73 から発信されていました。認証ステップの後、Huntressは脅威アクターが多数のローカルWindowsアカウントへのアクセスを試みるなど、偵察および横移動のステップに特有の活動を観測しました。
過去の侵害との関連性
Huntressは、今回観測された一連の侵害と、最近発生したSonicWallの侵害(すべてのクラウドバックアップ顧客のファイアウォール設定ファイルが流出した件)との関連性を示す証拠は見つからなかったと強調しています。SonicWallは、これらのファイルには機密データが含まれるためエンコードされており、内部の認証情報やシークレットはAES-256アルゴリズムで個別に暗号化されていると説明しています。攻撃者がファイルをデコードできたとしても、認証パスワードとキーは暗号化された形式で表示されるとのことです。
SonicWallによる推奨事項
SonicWallのセキュリティチェックリストによると、システム管理者は以下の保護措置を講じる必要があります。
- すべてのローカルユーザーパスワードと一時アクセスコードをリセットおよび更新する。
- LDAP、RADIUS、またはTACACS+サーバーのパスワードを更新する。
- すべてのIPSecサイト間およびGroupVPNポリシーのシークレットを更新する。
- L2TP/PPPoE/PPTP WANインターフェースのパスワードを更新する。
- L2TP/PPPoE/PPTP WANインターフェースをリセットする。
Huntressによる追加の対策
Huntressは、以下の追加措置を提案しています。
- 不要な場合はWAN管理とリモートアクセスを直ちに制限する。
- すべてのシークレットがローテーションされるまで、HTTP、HTTPS、SSH、およびSSL VPNを無効化または制限する。
- 外部APIキー、ダイナミックDNS、およびSMTP/FTP認証情報を失効させる。
- ファイアウォールおよび管理システムに関連する自動化シークレットを無効化する。
- すべての管理者アカウントおよびリモートアカウントを多要素認証(MFA)で保護する。
- サービス再導入は、各ステップで不審な活動を監視するために段階的に実行する。