Opisywana przez nas załatana niedawno luka w zabezpieczeniach SonicWall sklasyfikowana jako CVE-2024-40766 mogła zostać wykorzystana w atakach ransomware.
Krytyczna wada, ujawniona 22 sierpnia, a opisana przez nas 28 sierpnia, wpływa na SonicOS w zaporach Gen 5, Gen 6 i Gen 7. Luka, skutkująca problemem z kontrolą dostępu do zarządzania SonicOS i SSLVPN, może prowadzić do nieautoryzowanego dojścia do zasobów lub awarii zapory.
SonicWall zaktualizował swoje ostrzeżenie w piątek 6 września, aby poinformować klientów, iż CVE-2024-40766 jest „potencjalnie wykorzystywane w środowisku naturalnym” – taka fraza pada najczęściej w przypadku, kiedy hakerzy aktywnie wykorzystują podatność.
Dostawca nie udostępnił żadnych informacji na temat ataków, ale firma SOC Arctic Wolf wskazała, iż CVE-2024-40766 mogło zostać wykorzystane do początkowego dostępu w atakach ransomware Akira.
„W niedawnej aktywności zagrożeń zaobserwowanej przez Arctic Wolf podmioty powiązane z Akira ransomware przeprowadziły ataki z początkowym wektorem dostępu obejmującym naruszenie kont użytkowników SSLVPN na urządzeniach SonicWall” – poinformowała firma.
„W każdym przypadku naruszone konta były lokalne dla samych urządzeń, a nie zintegrowane ze scentralizowanym rozwiązaniem uwierzytelniania, takim jak Microsoft Active Directory. Ponadto MFA zostało wyłączone dla wszystkich naruszonych kont, a oprogramowanie układowe SonicOS na dotkniętych urządzeniach znajdowało się w wersjach znanych jako podatne na CVE-2024-40766” – dodała.
Arctic Wolf nie stwierdziło jasno, iż CVE-2024-40766 zostało wykorzystane w tych atakach ransomware, ale sugeruje, iż istnieje tego duże prawdopodobieństwo.
Amerykańska agencja ds. cyberbezpieczeństwa CISA nie dodała jeszcze CVE-2024-40766 do swojego katalogu znanych luk w zabezpieczeniach (KEV). Wpisy w katalogu KEV zwykle określają, czy dana podatność została wykorzystana w atakach.
Firma Blackpoint, zajmująca się cyberbezpieczeństwem, również zaobserwowała ataki na SSLVPN mające służyć uzyskaniu dostępu początkowego, ale nie mogła potwierdzić, iż wykorzystano lukę CVE-2024-40766. Więcej szczegółów obiecano udostępnić 10 września.
„Chociaż zespół Blackpoint Active SOC niedawno zwalczał naruszenie dostępu początkowego SSLVPN w naszych zarządzanych środowiskach, NIE potwierdziliśmy wyraźnych wskaźników naruszenia w środowiskach naszych partnerów, które pokazywałyby wykorzystanie przez hakerów luki CVE-2024-40766 firmy SonicWall” – oświadczyła firma.
Wiadomo, iż aktorzy zagrożeń wykorzystują luki w produktach SonicWall, w tym te typu zero-day. W zeszłym roku Mandiant poinformował o identyfikacji wyrafinowanego złośliwego oprogramowania, o którym uważa się, iż pochodzi z Chin, na urządzeniu tego producenta.
Na koniec rada, która mogłaby być świetnym hasłem przewodnim naszego bloga – łatajcie! Setki tysięcy zapór sieciowych SonicWall jest wystawionych na działanie Internetu i może być podatnych na ataki.