Menu dostępności

Krytyczna luka w zabezpieczeniach SonicWall

Krytyczna luka w zabezpieczeniach SonicWall może być wykorzystana w atakach ransomware

Opisywana przez nas załatana niedawno luka w zabezpieczeniach SonicWall sklasyfikowana jako CVE-2024-40766 mogła zostać wykorzystana w atakach ransomware.

Krytyczna wada, ujawniona 22 sierpnia, a opisana przez nas 28 sierpnia, wpływa na SonicOS w zaporach Gen 5, Gen 6 i Gen 7. Luka, skutkująca problemem z kontrolą dostępu do zarządzania SonicOS i SSLVPN, może prowadzić do nieautoryzowanego dojścia do zasobów lub awarii zapory.

SonicWall zaktualizował swoje ostrzeżenie w piątek 6 września, aby poinformować klientów, że CVE-2024-40766 jest „potencjalnie wykorzystywane w środowisku naturalnym” – taka fraza pada najczęściej w przypadku, kiedy hakerzy aktywnie wykorzystują podatność.

Dostawca nie udostępnił żadnych informacji na temat ataków, ale firma SOC Arctic Wolf wskazała, że CVE-2024-40766 mogło zostać wykorzystane do początkowego dostępu w atakach ransomware Akira.

„W niedawnej aktywności zagrożeń zaobserwowanej przez Arctic Wolf podmioty powiązane z Akira ransomware przeprowadziły ataki z początkowym wektorem dostępu obejmującym naruszenie kont użytkowników SSLVPN na urządzeniach SonicWall” – poinformowała firma.

„W każdym przypadku naruszone konta były lokalne dla samych urządzeń, a nie zintegrowane ze scentralizowanym rozwiązaniem uwierzytelniania, takim jak Microsoft Active Directory. Ponadto MFA zostało wyłączone dla wszystkich naruszonych kont, a oprogramowanie układowe SonicOS na dotkniętych urządzeniach znajdowało się w wersjach znanych jako podatne na CVE-2024-40766” – dodała.

Arctic Wolf nie stwierdziło jasno, że CVE-2024-40766 zostało wykorzystane w tych atakach ransomware, ale sugeruje, że istnieje tego duże prawdopodobieństwo.

Amerykańska agencja ds. cyberbezpieczeństwa CISA nie dodała jeszcze CVE-2024-40766 do swojego katalogu znanych luk w zabezpieczeniach (KEV). Wpisy w katalogu KEV zazwyczaj określają, czy dana podatność została wykorzystana w atakach.

Firma Blackpoint, zajmująca się cyberbezpieczeństwem, również zaobserwowała ataki na SSLVPN mające służyć uzyskaniu dostępu początkowego, ale nie mogła potwierdzić, że wykorzystano lukę CVE-2024-40766. Więcej szczegółów obiecano udostępnić 10 września.

„Chociaż zespół Blackpoint Active SOC niedawno zwalczał naruszenie dostępu początkowego SSLVPN w naszych zarządzanych środowiskach, NIE potwierdziliśmy wyraźnych wskaźników naruszenia w środowiskach naszych partnerów, które pokazywałyby wykorzystanie przez hakerów luki CVE-2024-40766 firmy SonicWall” – oświadczyła firma.

Wiadomo, że aktorzy zagrożeń wykorzystują luki w produktach SonicWall, w tym te typu zero-day. W zeszłym roku Mandiant poinformował o identyfikacji wyrafinowanego złośliwego oprogramowania, o którym uważa się, że pochodzi z Chin, na urządzeniu tego producenta.

Na koniec rada, która mogłaby być świetnym hasłem przewodnim naszego bloga – łatajcie! Setki tysięcy zapór sieciowych SonicWall jest wystawionych na działanie Internetu i może być podatnych na ataki.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...