Krytyczna luka w zabezpieczeniach SonicWall może być wykorzystana w atakach ransomware

Krytyczna wada, ujawniona 22 sierpnia, a opisana przez nas 28 sierpnia, wpływa na SonicOS w zaporach Gen 5, Gen 6 i Gen 7. Luka, skutkująca problemem z kontrolą dostępu do zarządzania SonicOS i SSLVPN, może prowadzić do nieautoryzowanego dojścia do zasobów lub awarii zapory.

SonicWall zaktualizował swoje ostrzeżenie w piątek 6 września, aby poinformować klientów, że CVE-2024-40766 jest „potencjalnie wykorzystywane w środowisku naturalnym” – taka fraza pada najczęściej w przypadku, kiedy hakerzy aktywnie wykorzystują podatność.

Dostawca nie udostępnił żadnych informacji na temat ataków, ale firma SOC Arctic Wolf wskazała, że CVE-2024-40766 mogło zostać wykorzystane do początkowego dostępu w atakach ransomware Akira.

„W niedawnej aktywności zagrożeń zaobserwowanej przez Arctic Wolf podmioty powiązane z Akira ransomware przeprowadziły ataki z początkowym wektorem dostępu obejmującym naruszenie kont użytkowników SSLVPN na urządzeniach SonicWall” – poinformowała firma.

„W każdym przypadku naruszone konta były lokalne dla samych urządzeń, a nie zintegrowane ze scentralizowanym rozwiązaniem uwierzytelniania, takim jak Microsoft Active Directory. Ponadto MFA zostało wyłączone dla wszystkich naruszonych kont, a oprogramowanie układowe SonicOS na dotkniętych urządzeniach znajdowało się w wersjach znanych jako podatne na CVE-2024-40766” – dodała.

Arctic Wolf nie stwierdziło jasno, że CVE-2024-40766 zostało wykorzystane w tych atakach ransomware, ale sugeruje, że istnieje tego duże prawdopodobieństwo.

Amerykańska agencja ds. cyberbezpieczeństwa CISA nie dodała jeszcze CVE-2024-40766 do swojego katalogu znanych luk w zabezpieczeniach (KEV). Wpisy w katalogu KEV zazwyczaj określają, czy dana podatność została wykorzystana w atakach.

Firma Blackpoint, zajmująca się cyberbezpieczeństwem, również zaobserwowała ataki na SSLVPN mające służyć uzyskaniu dostępu początkowego, ale nie mogła potwierdzić, że wykorzystano lukę CVE-2024-40766. Więcej szczegółów obiecano udostępnić 10 września.

„Chociaż zespół Blackpoint Active SOC niedawno zwalczał naruszenie dostępu początkowego SSLVPN w naszych zarządzanych środowiskach, NIE potwierdziliśmy wyraźnych wskaźników naruszenia w środowiskach naszych partnerów, które pokazywałyby wykorzystanie przez hakerów luki CVE-2024-40766 firmy SonicWall” – oświadczyła firma.

Wiadomo, że aktorzy zagrożeń wykorzystują luki w produktach SonicWall, w tym te typu zero-day. W zeszłym roku Mandiant poinformował o identyfikacji wyrafinowanego złośliwego oprogramowania, o którym uważa się, że pochodzi z Chin, na urządzeniu tego producenta.

Na koniec rada, która mogłaby być świetnym hasłem przewodnim naszego bloga – łatajcie! Setki tysięcy zapór sieciowych SonicWall jest wystawionych na działanie Internetu i może być podatnych na ataki.