はじめに
サイバーセキュリティ研究機関Huntressは、SonicWall SSL VPNデバイスを標的とした広範な攻撃キャンペーンを検知しました。10月初旬以降、複数の顧客環境で100以上のアカウントが侵害されており、攻撃は高度かつ組織的に行われていると見られています。
攻撃の詳細
この攻撃キャンペーンは、脅威アクターがブルートフォース攻撃ではなく、有効な認証情報を使用して複数のアカウントに迅速に認証している点が特徴です。10月4日以降、16の顧客ネットワークで集中的な認証試行が観測され、悪意のある活動の大部分は2日間に集中していました。全ての攻撃はIPアドレス202.155.8.73から発信されており、一元化されたコマンド構造を示唆しています。
多くの場合、攻撃者は短時間の接続を確立した後に切断しており、偵察活動の可能性が指摘されています。しかし、いくつかのインシデントでは、脅威アクターがネットワークスキャンを実行し、侵害された環境全体でローカルのWindowsアカウントへのアクセスを試みるなど、ポストエクスプロイト段階にエスカレートしています。
SonicWallのバックアップ侵害との関連
この攻撃のタイミングは、SonicWallが最近発表したセキュリティアドバイザリの更新と一致しています。同社は、MySonicWallプラットフォームを通じてクラウドバックアップサービスを利用している全顧客のファイアウォール設定バックアップファイルに、不正な第三者がアクセスしたことを明らかにしました。これらのファイルには、暗号化されているものの、標的型攻撃を容易にする可能性のある認証情報や設定データが含まれています。
SonicWallは当初、9月の開示で影響を受けたファイアウォールインストールは5%未満であると主張していましたが、今回の発表で全顧客に影響が及んでいることが判明しました。同社は、バックアップ侵害と現在のSSL VPN侵害の波との間に直接的な関連性は確立していないものの、その相関性は協調的な悪用活動に対する深刻な懸念を引き起こしています。
顧客への緊急勧告
SonicWallは、顧客に対し、直ちにMySonicWall.comアカウントを通じてデバイスのステータスを確認し、包括的なセキュリティ対策を実施するよう強く求めています。以下の重要な措置を講じる必要があります。
- WAN管理アクセスを制限する。
- 認証情報のリセットが完了するまで、HTTP、HTTPS、SSH、およびSSL VPNサービスを無効にする。
- ローカル管理者アカウント、VPN事前共有キー、LDAP認証情報、SNMP設定を含む全ての認証シークレットをリセットする。
- 外部APIキー、動的DNS認証情報、自動化シークレットを直ちに失効させ、交換する。
- 最近の設定変更やログイン試行について、強化されたログ監視を実施し、不審な活動を検出する。
- リセット実施後、サービスを段階的に再導入し、不正アクセス試行がないか継続的に監視する。
- 全ての管理者アカウントおよびリモートアカウントに対して多要素認証(MFA)を強制し、管理ロールには最小権限の原則を適用する。
Huntressは、さらなるネットワーク侵入を防ぐための即時行動の重要性を強調し、パートナーと協力してこのキャンペーンの追跡と修復作業を継続しています。