SonicWallの重大な脆弱性をランサムウェア「Akira」が悪用 攻撃の特徴とは？：Cybersecurity Dive

ファイアウォールSonicWallのSonicOSにおける重大な脆弱性が見つかった。この脆弱性はランサムウェア「Akira」の感染に悪用されているという。侵害された全てのアカウントで共通していた特徴とは。

[Matt Kapko，Cybersecurity Dive]

　研究者や連邦サイバー当局によると、サイバー攻撃者はセキュリティベンダーのファイアウォールを支えるソフトウェア「SonicWall」の「SonicOS」における重大な脆弱（ぜいじゃく）性（「CVE-2024-40766」）を積極的に悪用しているようだ。

ファイアウォールSonicWallに重大な脆弱性が見つかる　攻撃の特徴とは？

　米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）は2024年9月9日（現地時間、以下同）、CVE-2024-40766を脆弱性のカタログに追加した（注1）（注2）。このソフトウェアの欠陥は、SonicWallの「Gen 5」および「Gen 6」のデバイス、SonicOSのバージョン「7.0.1-5035」以前を実行している「Gen 7」のデバイスに影響を及ぼす。

　SonicWallは、不適切なアクセス制御に関連する脆弱性を2024年8月22日に開示し（注3）、修正した。共通脆弱性評価システム（CVSS）における、この脆弱性のスコアは9.3だ。サイバーセキュリティサービスを提供するArctic WolfとRapid7は（注4）（注5）、ランサムウェアグループがSonicWallのデバイス上のSSL VPNアカウントを初期アクセスに使用してランサムウェア攻撃を実行していることを確認した。

　不正プログラムとそれによる企業ネットワークの露出は、複数のベンダーが提供するセキュリティ機器の脆弱性を狙った一連の攻撃のうちの一部である。

　SonicWallは2024年9月6日に実施した最新のアップデートで、この脆弱性が悪用される可能性があると警告し、パッチを適用するよう顧客に促している。しかし、同社はコメントの要請に応じなかった。

　Arctic Wolfは2024年9月6日に、ローカルのSonicWallのファイアウォール上で侵害されたアカウントに関連するランサムウェア「Akira」のアフィリエイト活動を確認した。同社によると、侵害された全てのアカウントで多要素認証が無効化されていたという。

　Arctic Wolfのダン・スキアッパ氏（製品およびサービス責任者）は、電子メールで次のように述べた。

　「私たちの振り返り分析では、2024年8月の第1週にすでに不正なプログラムが潜在的に存在していたことを示す状況証拠が見つかったが、それは決定的なものではなかった」

　ファイアウォールやVPNのテレメトリーにおける視認性が欠如しているため、研究者は、悪意ある活動を脆弱性の悪用に結び付けられない。それにもかかわらず、スキアッパ氏は「Arctic Wolfは、ローカル認証を使用しているSonicWallのファイアウォールのSSL VPN機能に依存している組織に対する脅威を示す十分なデータを観測した」と述べた。

　また、Rapid7は幾つかの攻撃をCVE-2024-40766と関連付ける証拠は状況証拠だと説明した。

　Rapid7のケイトリン・コンドン氏（脆弱性インテリジェンスディレクター）は、電子メールで「現時点では、この脆弱性に関連するインシデントを高い確信を持って特定することはできておらず、今のところSonicWallのデバイスに対する大規模なターゲティングは観測されていない」と語った。

　SonicWallや政府関係者、研究者は顧客に対して、最新のサポートが備わっているバージョンのSonicOSへのアップグレードを強く推奨している。

　「SonicWallのファイアウォールは他のネットワークエッジデバイスと同様、金銭目的の攻撃者や高度な持続的脅威をもたらす敵対者にとって、高い価値を有する初期アクセス経路である」（コンドン氏）

　過去数年、BarracudaやCitrix（注6）（注7）、Fortinet（注8）、Ivanti（注9）、Palo Alto Networksが販売するネットワークエッジデバイスの脆弱性は（注10）、金銭目的の攻撃者および国家に関連する攻撃者によって広く悪用されてきた。サイバーセキュリティ保険企業であるAt-Bayは、2024年5月の報告書でリモートアクセスツールがランサムウェア攻撃の主な侵入点であり（注11）、2023年の攻撃のうち3分の2を占めていると報告した。

　「CVE-2024-40766を悪用することで、脅威者は内部ネットワークにアクセスできるようになり、ランサムウェアの展開を含む後続の攻撃を実行するのに有利な立場になる可能性がある」（コンドン氏）

　攻撃者は、SonicWall SonicOSの管理アクセスとSSL VPNの脆弱性を悪用して、リソースへの不正アクセスを取得し、ファイアウォールをクラッシュさせる可能性がある。

（注1）CVE-2024-40766 Detail（NIST）
（注2）Known Exploited Vulnerabilities Catalog（CISA）
（注3）Vulnerability List（SONICWALL）
（注4）Arctic Wolf Observes Akira Ransomware Campaign Targeting SonicWall SSLVPN Accounts（ARCTIC WOLF）
（注5）CVE-2024-40766: Critical Improper Access Control Vulnerability Affecting SonicWall Devices（RAPID7）
（注6）Barracuda zero-day vulnerability exploited for 7 months before detection（Cybersecurity Dive）
（注7）CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
（注8）Most Fortinet FortiGate firewalls remain vulnerable to critical CVE（Cybersecurity Dive）
（注9）Ivanti pledges security overhaul after critical vulnerabilities targeted in lengthy exploit spree（Cybersecurity Dive）
（注10）Palo Alto Networks warns firewall exploits are spreading（Cybersecurity Dive）
（注11）Remote-access tools the intrusion point to blame for most ransomware attacks（Cybersecurity Dive）

原文へのリンク