概要
ハッカーは世界中のSonicWallファイアウォールに対して、84,000回を超えるSonicOSスキャンセッションを実行し、SSL VPNのターゲットを探しています。この攻撃は、将来の資格情報や脆弱性の悪用に向けたものと見られています。
詳細
ハッカーは4日間で84,000回以上のSonicOSスキャンセッションを実行し、そのうち92%がSSL VPNが有効かどうかを確認するための単一のREST APIエンドポイントに集中しています。これらの活動は、3つの異なるインフラクラスターによって行われており、商用プロキシネットワークも一部の攻撃に貢献しています。
主な発見
- 4,000以上のIPアドレス:この攻撃は、世界中のSonicWallファイアウォールに対して84,142回のスキャンセッションを実行しています。
- CVE-2024-53704:最も重要なCVEの一つで、CVSS評価9.8の認証バイパスが含まれています。これはSonicOSとNSv装置に影響を与え、既に野外で悪用されています。
- 商用プロキシネットワーク:ByteZero商用プロキシネットワークは、攻撃の32%を占め、4,102の出口IPアドレスを使用しています。
攻撃の目的と影響
この活動は、SonicWallファイアウォールにSSL VPNが有効かどうかを確認するためのものであり、将来的な資格情報や脆弱性の悪用につながる可能性があります。特にAkiraランサムウェアグループは、過去1年間で数百の組織を攻撃し、数億ドル以上の被害をもたらしています。
対策
組織はすぐに管理アクセスを制限し、すべてのSSL VPNユーザーに対してMFA(多要素認証)を強制的に実装する必要があります。また、CVE-2024-53704などの脆弱性を緊急に修正することが重要です。