A Fog és az Akira ransomware üzemeltetői a SonicWall VPN CVE-2024-40766 (CVSS v3 pontszám: 9,3) kritikus sebezhetőségét használják ki, hogy SSL VPN hozzáférésen keresztül betörjenek a vállalati hálózatokba ─ írja a SecurityAffairs.
A SonicWall SonicOS-t érintő, nem megfelelő hozzáférésszabályozás sebezhetőséget a vállalat 2024 augusztusában orvosolta, a hibajavítást tartalmazó verziók haladéktalan telepítése ajánlott.
A biztonsági hiba a SonicWall Gen 5 és Gen 6 eszközöket, valamint a SonicOS 7.0.1-5035 és régebbi verziókat futtató Gen 7 eszközöket érinti. A legújabb javítócsomagok letölthetőek a mysonicwall.com oldalról.
A támadók a sebezhetőséget kihasználva jogosulatlan erőforrás-hozzáférést szerezhetnek, emiatt az érintett tűzfalak összeomolhatnak.
A vállalat sürgeti az ügyfeleket, hogy a lehető leghamarabb alkalmazzanak javításokat. A gyártó a potenciális kockázatok minimalizálására azt javasoljak, hogy a tűzfal kezelését az ügyfelek korlátozzák megbízható forrásokra, vagy tiltsák le a tűzfal WAN kezelését az internet hozzáférésről. Hasonlóképpen, az SSLVPN esetében, a hozzáférés csak megbízható forrásokra korlátozódjon, vagy az SSLVPN hozzáférés internetről letiltása javasolt.
Az Arctic Wolf kutatói 2024. augusztus óta több mint 30 Akira és Fog zsarolóvírusos behatolást észleltek, amelyek mindegyike a SonicWall SSL VPN-ek javítatlan verzióját használta ki (CVE-2024-40766). A szakértők a támadások mögött közös IP infrastruktúrát észleltek. Korábban a Fog és az Akira támadások számos tűzfalmárkát céloztak, augusztus eleje óta azonban a SonicWall készülékekre összpontosítottak. Az Akira zsarolóprogramot a támadások körülbelül 75%-ában, a Fog zsarolóprogramot pedig a fennmaradó 25%-os esetekben vetették be.
A kezdeti SSL VPN-hozzáférés és a váltságdíj/titkosítási célok elérése között eltelt idő egyes behatolásoknál mindössze 1,5-2 óra volt, míg más behatolásoknál ez az időintervallum közelebb volt a 10 órához.
Arra ugyanakkor nincs bizonyíték, hogy a CVE-2024-40766 és más távoli kódfuttatási sebezhetőségeket a SonicWall készülékek kompromittálására (kezdeti hozzáférésére) használták volna ki. A kutatók feltételezik, hogy a VPN hitelesítő adatokat más módon, például adatbetörés útján szerezhették meg.
