Source: https://thehackernews.com/2025/09/sonicwall-ssl-vpn-flaw-and.html
🛡 概要
アキラランサムウェアグループに関連する脅威アクターが、SonicWallのデバイスを初期アクセスのターゲットとして引き続き狙っています。サイバーセキュリティ企業のRapid7によると、SonicWall機器を利用した侵入の急増が確認されており、特に2025年7月末からのアキラの活動再開に伴い、増加傾向にあります。SonicWallは、SSL VPNに関連する活動が、ローカルユーザーパスワードの移行時にリセットされずに引き継がれるという、約1年前のセキュリティ脆弱性(CVE-2024-40766、CVSSスコア: 9.3)に起因していることを明らかにしました。
🔍 技術詳細
この脆弱性により、攻撃者はローカルアカウントのパスワードを利用して不正アクセスを試みることが可能になります。SonicWallは、Botnet Filteringを有効にし、アカウントロックアウトポリシーを適用することでリスクを軽減するよう顧客に呼びかけています。LDAP SSL VPNのデフォルトユーザーグループの誤設定は「重大な弱点」として認識されており、Active Directoryに実際にメンバーシップがないユーザーでも、認証に成功した場合、あらかじめ定義されたローカルグループに自動的に追加されます。これにより、攻撃者は有効な資格情報を得た瞬間にネットワークの周辺に直接アクセスできることになります。
⚠ 影響
アキラランサムウェアグループのSonicWall SSL VPNに対する標的は、オーストラリアサイバーセキュリティセンター(ACSC)によっても確認されており、脆弱なオーストラリアの組織に対する攻撃が行われています。2023年3月に登場したアキラは、現在までに967の被害者を名乗っており、2025年7月には40件の攻撃を記録しました。産業界に影響を及ぼすランサムウェア攻撃の中で、アキラは製造業や輸送業を標的にし、フィッシングやマルチプラットフォームのランサムウェア展開を駆使していることが報告されています。
🛠 対策
リスクを軽減するため、組織はSonicWallのローカルアカウントのパスワードを変更し、未使用または非アクティブなアカウントを削除し、MFA/TOTPポリシーを設定し、Virtual Office Portalへのアクセスを内部ネットワークに制限することが推奨されます。アキラの攻撃フローは、初期アクセスをSSL VPNコンポーネントを通じて取得し、権限を昇格させて機密ファイルを盗み、バックアップを削除または停止し、ハイパーバイザーのレベルでランサムウェアを展開するという標準的な手法を踏襲しています。
