Ransomware Attacks Targeting Unpatched EOL SonicWall SMA 100 VPN Appliances
2021/07/15 TheHackerNews — ネットワーク機器メーカーの SonicWall は、サポートが終了しパッチが適用されない 8.x ファームウェアを実行している、Secure Mobile Access (SMA) 100シリーズおよび Secure Remote Access (SRA) を標的としたランサムウェア・キャンペーンについて、顧客に対する緊急的な警告を発している。
この警告が行われたのは、SonicWall SRA 4600 VPN アプライアンスにおけるリモートアクセスの脆弱性 CVE-2019-7481 が、ランサムウェア攻撃の初期アクセス・ベクターとして悪用され、世界中の企業ネットワークに侵入しているという報告が出てから、1カ月以上が経過した後である。SonicWall は、「サポートが終了し (EOL : end-of-life)、パッチが適用されていない8.xファームウェアを実行している、Secure Mobile Access (SMA) 100 シリーズおよび Secure Remote Access (SRA) を積極的に標的にして、盗んだ認証情報を悪用するランサムウェア・キャンペーンを行っている、脅威アクターの存在を認識している。
新バージョンのファームウェアでは、パッチが適用されている既知の脆弱性を、この悪用者はターゲットにしている」と述べている。SMA 1000 シリーズは、この欠陥の影響を受けないと、SonicWall は述べている。そして、顧客である企業に対しては、該当するファームウェアの更新/多要素認証の活用/EOL アプライアンスの遮断 (9.xファームウェアに更新不能) などの対策を、早急に講じるよう求めている。同社は、「8.xファームウェアがインストールされた EOL デバイスには、一時的な緩和策の時期を過ぎている。このファームウェアまたは EOL デバイスを継続して使用することは、セキュリティ上のリスクとなる」と注意を促している。さらに、SonicWall は、すべての SMA / SRA デバイスのパスワードをリセットし、同じ認証情報を使用している可能性のあるデバイスやシステムもリセットすることを推奨している。
SonicWall デバイスが、収益性の高い攻撃ベクトルとして登場したのは4回目であり、脅威アクターが未知の欠陥を悪用してマルウェアを投下し、標的となるネットワークに侵入したことで、この数か月で取り組まれた最新の課題となりました。また、2021年4月に FireEye Mandiant は、UNC2447 というハッキング・グループが、SonicWall VPN アプライアンスのゼロデイ脆弱性 CVE-2021-20016 を、悪用していたことを明らかにしました。その後に同社は、北米およびヨーロッパで活動する、FIVEHANDS という新種のランサムウェアに対するパッチを適用しました。
IoT OT Security News 