サイバーニュース.jp

世界のサイバーなニュースを配信

SonicWall SSL VPNデバイスがAkiraランサムウェアの標的に – 未パッチの脆弱性が悪用される

カテゴリ:

, , , , , , , , ,

はじめに

2025年7月から8月にかけて、SonicWall SSL VPNデバイスの未パッチの脆弱性(CVE-2024-40766)を悪用したAkiraランサムウェア攻撃が急増していることが確認されました。この脆弱性に対するパッチは既にリリースされているにもかかわらず、多くの組織が依然として無防備な状態にあり、脅威アクターが初期アクセスを獲得し、Akiraの二重恐喝スキームを展開することを許しています。

脆弱性の詳細と攻撃の手口

Darktraceは2025年8月20日、米国顧客のネットワーク上で異常なネットワークスキャンと偵察活動を検知しました。当初はゼロデイ攻撃の可能性も疑われましたが、後にSonicWallは、全てのインシデントがCVE-2024-40766の悪用によるものであると確認しました。この脆弱性は、2024年8月23日に開示された不適切なアクセス制御の欠陥です。

偵察活動には、内部のSonicWall SSL VPNサーバーに対するAdvanced IP Scannerによる繰り返し検索が含まれていました。その後、水平移動とデータ窃取が行われました。SOCチームは、SonicOS 7.0.1.5035を実行している仮想プライベートネットワークアプライアンスに足がかりが築かれたことを突き止め、CVE-2024-40766の悪用を裏付けました。

攻撃者は、以前に盗んだ認証情報やVirtual Office Portalの誤設定を利用して、多要素認証を迂回し、権限を昇格させました。Darktraceによる封じ込め措置が講じられる前に、約2GiBの機密データが窃取されました。

CVE-2024-40766は、管理エンドポイントへの不正アクセスを許可し、SSL VPN設定のリモート制御を可能にします。概念実証(PoC)のPythonエクスプロイトは、脆弱なエンドポイントへのHTTP POSTを利用します。

  • import requests
  • url = "https://victim-vpn.example.com/cgi-bin/sslvpn_cfg"
  • payload = {"func": "get_user_info", "user": "admin"}
  • response = requests.post(url, data=payload, verify=False)
  • print(response.text)

Akiraランサムウェアの脅威

Akiraランサムウェアは、製造業、教育、医療など、複数のセクターの組織を標的とすることが知られています。アクセス獲得後、攻撃者はAkiraのWindows版およびLinux版を展開しました。Windows版はファイルシステムを暗号化し、ESXi版はハイパーバイザーのファイルストアを標的とし、クラウドインフラ全体での迅速な暗号化を可能にします。

内部侵入後、攻撃者はWinRMおよびRDPを使用して水平移動し、Kerberos PKINITおよびU2U認証(「UnPAC the hash」)を介してNTLMハッシュを抽出し、正規の管理ツールを使用してランサムウェアバイナリを展開しました。C2(コマンド&コントロール)通信には、一時的なクラウドホスティングサービス(例:temp[.]sh)や、稀なIPアドレスからの直接ダウンロードが利用されました。

推奨される対策

このキャンペーンは、タイムリーなパッチ適用と堅牢な設定管理の重要性を浮き彫りにしています。CVE-2024-40766は開示から1年以上経過しても悪用されており、攻撃者が未パッチのシステムを継続的にスキャンしていることを示しています。Virtual Office Portalの誤設定は、パッチが適用されたデバイスであっても初期アクセスを可能にし、認証情報の衛生管理と定期的な設定監査の必要性を強調しています。

ランサムウェア攻撃者は現在、WinRM、RDP、Kerberosといった正規の管理プロトコルを悪用して、悪意のある活動を通常のトラフィックに紛れ込ませる傾向があります。「UnPAC the hash」技術は、証明書ベースのKerberos認証が水平移動のためにNTLMハッシュを抽出するためにどのように悪用され得るかを示しています。

防御側は、多層防御アプローチを採用すべきです。

  • 全てのVPNポータルで最小権限アクセスと多要素認証を強制する。
  • 水平移動を制限するためにネットワークセグメンテーションを展開する。
  • 稀な外部エンドポイントや異常な管理ツール使用を監視し、ブロックする。
  • 偵察、認証情報の悪用、データ窃取を関連付けて、一貫したインシデントとして検出するためにAI駆動型検出を活用する。
  • 異常なKerberos PKINITリクエスト、DCE-RPCコール、異常な外部データ転送を監視する。

結論

Darktraceの自律的対応が示したように、迅速なトリアージと封じ込めは、影響を大幅に軽減することができます。マネージド検出および対応サービスを購読している組織は、高精度のアラート、迅速な調査、即時緩和の恩恵を受け、Akiraの二重恐喝戦術の範囲を抑制できます。進化するランサムウェアの脅威、特にレガシーな脆弱性を悪用するものに対しては、パッチ適用後も継続的な警戒が不可欠です。

元記事: https://gbhackers.com/sonicwall-ssl-vpn/

投稿をさらに読み込む