PR

AkiraランサムウェアがMFA保護のSonicWall VPNアカウントを侵害

Security

Source: https://www.bleepingcomputer.com/news/security/akira-ransomware-breaching-mfa-protected-sonicwall-vpn-accounts/

スポンサーリンク

🛡 概要

Akiraランサムウェアの攻撃が進化し、SonicWallのSSL VPNデバイスに対する脅威が高まっています。特に、ワンタイムパスワード(OTP)による多要素認証(MFA)が有効なアカウントに対しても、攻撃者が成功裏に認証を行う事例が報告されています。研究者たちは、以前に盗まれたOTPシードを使用している可能性があると考えていますが、具体的な手法は未確認です。

🔍 技術詳細

2024年7月、BleepingComputerはAkiraランサムウェアがSonicWallのSSL VPNデバイスを利用して企業ネットワークに侵入していると報じました。これにより、ゼロデイ脆弱性が悪用されている可能性が指摘されましたが、最終的にSonicWallは、2024年9月に開示されたCVE-2024-40766という不適切なアクセス制御の脆弱性に関連付けました。脆弱性は2024年8月にパッチが適用されましたが、攻撃者は依然として盗まれた認証情報を利用して、パッチ適用後もアクセスを試みています。

⚠ 影響

最新の研究によれば、サイバーセキュリティ企業Arctic Wolfは、SonicWallファイアウォールに対するキャンペーンを観察し、攻撃者がOTP MFAが有効なアカウントに成功裏にログインしていることを報告しています。これにより、攻撃者がOTPシードをも侵害した可能性が示唆されています。これに伴い、SonicWallは管理者に対し、SSL VPNのすべての認証情報をリセットし、最新のSonicOSファームウェアをインストールするよう強く推奨しています。

🛠 対策

管理者は、以前の脆弱なファームウェアを使用していたデバイスのVPN認証情報をすべてリセットすることが強く求められています。たとえファームウェアが更新されていても、攻撃者は依然として盗まれたアカウントを使用して企業ネットワークに初期アクセスを得る可能性があります。特に、脅威アクターは内部ネットワークを迅速にスキャンし、Veeam Backup & Replicationサーバーに対してカスタムPowerShellスクリプトを展開するなどの活動を行っています。したがって、管理者は注意深く監視し、セキュリティ対策を強化する必要があります。

Security
スポンサーリンク