概要

サイバーセキュリティ企業Huntressの報告によると、SonicWall SSLVPNデバイスが広範囲にわたり侵害されていることが明らかになりました。特筆すべきは、これらの攻撃がブルートフォース攻撃ではなく、有効な認証情報を用いて行われている点です。Huntressの脅威戦術ディレクターであるジェイミー・レヴィ氏は、攻撃者が複数のアカウントに直接ログインする速度から、有効な認証情報を持っているか、あるいは別のログイン方法を解明している可能性が高いと述べています。

攻撃の詳細と影響

一連の攻撃は10月4日に始まり、同時期にSonicWallがMySonicWallクラウドバックアップサービスの広範な侵害について更新情報を発表したことと重なっています。Huntressが確認したところでは、16の顧客環境で100を超えるSonicWall SSLVPNアカウントが侵害されました。これらのSSLVPN攻撃とMySonicWallの侵害との間に何らかの関連があるかは現時点では不明です。

攻撃者の行動は多様で、一部のケースではネットワークから迅速に切断していましたが、別のケースではスキャン活動を行い、ローカルのWindowsアカウントへのアクセスを試みていたと研究者は報告しています。

過去の攻撃との関連性

今回の攻撃は、8月に報告されたAkiraランサムウェアに関連するGen 7ファイアウォールを標的とした一連の攻撃と類似点があります。当時、研究者たちはゼロデイ脆弱性の使用の可能性を懸念しましたが、SonicWallの調査では、以前に開示された不適切なアクセス制御の脆弱性が原因であり、多くの攻撃は顧客が次世代ファイアウォールにアップグレードした後も古いローカルパスワードを使用していたために発生したと説明しました。SonicWallは当時、顧客に対し、ローカルおよびLDAPアカウントの認証情報をローテーションするよう強く促していました。

しかし、SonicWallの保証にもかかわらず、今回の新たな一連の攻撃が同時多発的に発生していることに対し、研究者たちは懸念を表明しています。

対策と今後の動向

Huntressの研究者たちは、今回の調査結果をSonicWallに報告しましたが、月曜日時点ではまだ返答を得られていないとのことです。企業は、SonicWallが以前から推奨しているように、認証情報の定期的なローテーションを徹底し、セキュリティ対策を強化することが喫緊の課題となります。今後のSonicWallからの公式発表と、さらなる調査結果が待たれます。

元記事: https://www.cybersecuritydive.com/news/sonicwall-sslvpn-devices-compromised/802716/