概要

サイバーセキュリティ企業Huntressは、SonicWall SSLVPNデバイスが広範囲にわたって侵害されていると警告しました。攻撃者はブルートフォース攻撃ではなく、有効な認証情報を用いてシステムに侵入していると見られています。この攻撃により、これまでに16の顧客環境で100以上のSonicWall SSLVPNアカウントが影響を受けているとのことです。

攻撃の詳細

攻撃は10月4日に始まりました。Huntressの脅威戦術ディレクターであるジェイミー・レヴィ氏は、サイバーセキュリティダイブに対し、「彼らは有効な認証情報を持っているようだ」と語っています。ブルートフォース攻撃の試行なしに複数のアカウントに直接ログインする速度は、攻撃者が有効な認証情報を持っているか、あるいは別のログイン方法を解明したことを示唆しています。

攻撃者の行動はケースによって異なり、一部のケースではネットワークから迅速に切断しましたが、他のケースではネットワークスキャンを実行し、ローカルのWindowsアカウントへのアクセスを試みました。

MySonicWallの侵害との関連

今回の攻撃は、SonicWallが同社のMySonicWallクラウドバックアップサービスの広範な侵害について更新情報を発表した時期と重なっています。しかし、SSLVPNへの攻撃とMySonicWallの侵害との間に具体的な関連があるかどうかは、現時点では不明です。

過去の関連事象とSonicWallの対応

今回の攻撃は、8月に報告されたGen 7ファイアウォールを標的としたAkiraランサムウェアに関連する一連の攻撃と類似点があります。当時、研究者たちはゼロデイ脆弱性の使用の可能性について懸念を表明しましたが、SonicWallは調査の結果、以前に開示された不適切なアクセス制御の脆弱性によるものであり、多くの攻撃は顧客が次世代ファイアウォールにアップグレードした後も古いローカルパスワードを使用していたことが原因であると説明しました。SonicWallは当時、ローカルおよびLDAPアカウントの認証情報をローテーションするよう顧客に強く促していました。

研究者の懸念と今後の動向

SonicWallの以前の保証にもかかわらず、今回の新たな一連の攻撃が同時多発的に発生していることに対し、研究者たちは懸念を表明しています。Huntressの研究者たちはSonicWallに調査結果を通知しましたが、月曜日時点ではまだ返答を得られていないとのことです。

元記事: https://www.cybersecuritydive.com/news/sonicwall-sslvpn-devices-compromised/802716/