SonicWall настаивает, что волна атак вирусов-вымогателей, обрушившихся на ее межсетевые экраны Gen 7, связана не с уязвимостью нулевого дня, а с критическим дефектом, который компания ранее раскрыла и исправила прошлым летом в своей операционной системе сетевой безопасности.
Поставщик оспорил первоначальные оценки сторонних исследователей, предполагавших, что скорость и масштаб атак указывают на потенциальную уязвимость нулевого дня, затрагивающую протокол VPN SSL, как на первоначальный вектор атаки. «SonicWall тщательно изучил этот вопрос, и, основываясь на текущих результатах, мы с высокой степенью уверенности уверены, что эта активность связана с CVE-2024-40766 », — говорится в заявлении SonicWall, которое также добавило, что дефект «не является новой или неизвестной уязвимостью нулевого дня».
Противоречивые теории и широкая неопределенность относительно первопричины последней серии атак подчеркивают трудности, с которыми сталкиваются эксперты по безопасности, стремясь выявить и устранить уязвимости, возникающие в реальных условиях. Исследователи Arctic Wolf ранее отмечали, что эта активность была схожа с предыдущими атаками с использованием CVE-2024-40766.
По данным SonicWall, от атак пострадало менее 40 организаций. Они начались в середине июля и усилились в течение следующих нескольких недель. Две другие компании, занимающиеся кибербезопасностью, Huntress и GuidePoint Research, также оценили число жертв менее чем в 40.
SonicWall сообщила в обновлённой публикации в своём блоге , что многие атаки были связаны с клиентами, которые недавно перешли с брандмауэров 6-го поколения на 7-е, не сбросив пароли. Компания не уточнила, сколько пострадавших клиентов использовали брандмауэры без ранее выпущенного исправления для CVE-2024-40766.
22 августа 2024 года компания SonicWall раскрыла уязвимость ненадлежащего управления доступом в SonicOS, которая получила оценку CVSS 9,8. 9 сентября 2024 года этот дефект был добавлен в каталог известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры , и агентство подтвердило, что он использовался в кампаниях по вымогательству.
SonicWall не ответил на запрос о комментарии.
«Неясно, является ли эта CVE действительной основной проблемой во всех случаях, которые мы наблюдали», — написал Джейми Леви, директор по тактике противодействия в Huntress, в электронном письме. «Мы продолжаем наблюдать случаи эксплуатации устройств SonicWall с нашей стороны, но неясно, установлены ли на них исправления или они имеют устаревшие конфигурации».
Компания Huntress подтвердила, что некоторые пострадавшие клиенты перешли на Gen 7 со старыми конфигурациями, но одна из пострадавших организаций сообщила Huntress, что их устройства SonicWall, которые были установлены на Gen 7, а не мигрировали с предыдущего поколения, были скомпрометированы. «Возможно, дело в других уязвимостях или неверных настройках», — сказал Леви.
Она добавила, что большинство клиентов, пострадавших от этой серии атак, уже установили исправление для CVE-2024-40766. «Подавляющее большинство этих атак было направлено на запуск вируса-вымогателя, в основном Akira ».
Исследователи GuidePoint Security и Arctic Wolf также связывают недавние атаки с группой, связанной с вирусом-вымогателем Akira. «Нам неизвестно о других группах, участвующих в этой кампании, но мы не можем полностью исключить её», — сообщил в электронном письме Джейсон Бейкер, главный консультант по безопасности исследовательской и аналитической группы GuidePoint.
Компания GuidePoint не анализировала техническую причину атак, но «на данный момент у нее нет оснований полагать, что ответ SonicWall является неискренним или неполным», — заявил Бейкер.
Члены Akira обычно крадут данные и шифруют системы, прежде чем попытаться вымогать у жертв расшифровку и предотвратить утечку украденных данных. В прошлом году CISA в своем информационном бюллетене заявила, что вирус-вымогатель Akira затронул более 250 организаций, получив около 42 миллионов долларов в виде вымогательств с марта 2023 года по январь 2024 года.
В обновлённом руководстве SonicWall клиентам рекомендуется изменить учётные данные и перейти на SonicOS 7.3.0, которая включает дополнительные функции многофакторной аутентификации. Компания отменила предыдущее руководство, призывающее клиентов отключать SSLVPN на межсетевых экранах 7-го поколения.
«Если какие-либо учетные записи локального администратора были скомпрометированы через CVE-2024-40766, злоумышленники могут использовать административные функции, такие как захват пакетов, отладка, ведение журнала, резервное копирование конфигурации или управление MFA, для получения дополнительных учетных данных, мониторинга трафика или ослабления общего уровня безопасности», — заявили в SonicWall.
Клиенты SonicWall постоянно подвергаются атакам, связанным с дефектами в межсетевых экранах и программном обеспечении компании. С конца 2021 года компания 14 раз упоминалась в каталоге известных эксплуатируемых уязвимостей CISA.
Поставщик оспорил первоначальные оценки сторонних исследователей, предполагавших, что скорость и масштаб атак указывают на потенциальную уязвимость нулевого дня, затрагивающую протокол VPN SSL, как на первоначальный вектор атаки. «SonicWall тщательно изучил этот вопрос, и, основываясь на текущих результатах, мы с высокой степенью уверенности уверены, что эта активность связана с CVE-2024-40766 », — говорится в заявлении SonicWall, которое также добавило, что дефект «не является новой или неизвестной уязвимостью нулевого дня».
Противоречивые теории и широкая неопределенность относительно первопричины последней серии атак подчеркивают трудности, с которыми сталкиваются эксперты по безопасности, стремясь выявить и устранить уязвимости, возникающие в реальных условиях. Исследователи Arctic Wolf ранее отмечали, что эта активность была схожа с предыдущими атаками с использованием CVE-2024-40766.
По данным SonicWall, от атак пострадало менее 40 организаций. Они начались в середине июля и усилились в течение следующих нескольких недель. Две другие компании, занимающиеся кибербезопасностью, Huntress и GuidePoint Research, также оценили число жертв менее чем в 40.
SonicWall сообщила в обновлённой публикации в своём блоге , что многие атаки были связаны с клиентами, которые недавно перешли с брандмауэров 6-го поколения на 7-е, не сбросив пароли. Компания не уточнила, сколько пострадавших клиентов использовали брандмауэры без ранее выпущенного исправления для CVE-2024-40766.
22 августа 2024 года компания SonicWall раскрыла уязвимость ненадлежащего управления доступом в SonicOS, которая получила оценку CVSS 9,8. 9 сентября 2024 года этот дефект был добавлен в каталог известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры , и агентство подтвердило, что он использовался в кампаниях по вымогательству.
SonicWall не ответил на запрос о комментарии.
«Неясно, является ли эта CVE действительной основной проблемой во всех случаях, которые мы наблюдали», — написал Джейми Леви, директор по тактике противодействия в Huntress, в электронном письме. «Мы продолжаем наблюдать случаи эксплуатации устройств SonicWall с нашей стороны, но неясно, установлены ли на них исправления или они имеют устаревшие конфигурации».
Компания Huntress подтвердила, что некоторые пострадавшие клиенты перешли на Gen 7 со старыми конфигурациями, но одна из пострадавших организаций сообщила Huntress, что их устройства SonicWall, которые были установлены на Gen 7, а не мигрировали с предыдущего поколения, были скомпрометированы. «Возможно, дело в других уязвимостях или неверных настройках», — сказал Леви.
Она добавила, что большинство клиентов, пострадавших от этой серии атак, уже установили исправление для CVE-2024-40766. «Подавляющее большинство этих атак было направлено на запуск вируса-вымогателя, в основном Akira ».
Исследователи GuidePoint Security и Arctic Wolf также связывают недавние атаки с группой, связанной с вирусом-вымогателем Akira. «Нам неизвестно о других группах, участвующих в этой кампании, но мы не можем полностью исключить её», — сообщил в электронном письме Джейсон Бейкер, главный консультант по безопасности исследовательской и аналитической группы GuidePoint.
Компания GuidePoint не анализировала техническую причину атак, но «на данный момент у нее нет оснований полагать, что ответ SonicWall является неискренним или неполным», — заявил Бейкер.
Члены Akira обычно крадут данные и шифруют системы, прежде чем попытаться вымогать у жертв расшифровку и предотвратить утечку украденных данных. В прошлом году CISA в своем информационном бюллетене заявила, что вирус-вымогатель Akira затронул более 250 организаций, получив около 42 миллионов долларов в виде вымогательств с марта 2023 года по январь 2024 года.
В обновлённом руководстве SonicWall клиентам рекомендуется изменить учётные данные и перейти на SonicOS 7.3.0, которая включает дополнительные функции многофакторной аутентификации. Компания отменила предыдущее руководство, призывающее клиентов отключать SSLVPN на межсетевых экранах 7-го поколения.
«Если какие-либо учетные записи локального администратора были скомпрометированы через CVE-2024-40766, злоумышленники могут использовать административные функции, такие как захват пакетов, отладка, ведение журнала, резервное копирование конфигурации или управление MFA, для получения дополнительных учетных данных, мониторинга трафика или ослабления общего уровня безопасности», — заявили в SonicWall.
Клиенты SonicWall постоянно подвергаются атакам, связанным с дефектами в межсетевых экранах и программном обеспечении компании. С конца 2021 года компания 14 раз упоминалась в каталоге известных эксплуатируемых уязвимостей CISA.
