SonicWall Firewall Devices 0-day Vulnerability Actively Exploited by Akira Ransomware
2025/08/02 CyberSecurityNews — SonicWallファイアウォール・デバイスに存在すると推定されるゼロデイ脆弱性を、Akira ランサムウェアグループが積極的に悪用しているようだ。この脆弱性を悪用する攻撃者は、SonicWall の SSL VPN 機能を介して企業ネットワークへの初期アクセスを取得し、その後にランサムウェアを展開することが可能となる。2025年7月下旬にセキュリティ研究者たちが確認したのは、SonicWall デバイスを悪用するランサムウェア攻撃の大幅な増加である。既知の脆弱性に対するパッチが完全に適用されていても、ファイアウォールへの侵入が成功した事例が存在するため、ゼロデイ脆弱性の存在が示唆される状況になっている。
このインシデントでは、攻撃者が多要素認証 (MFA) を回避するというケースも報告されており、標準的なセキュリティ対策を迂回する、高度な攻撃ベクターが用いられているようだ。
2025年7月15日ころから始まったとされる急激な活動は、Akiraランサムウェア・グループの仕業とされている。このグループが、侵害した認証情報を悪用し、SonicWall SSL VPN へログインしていることが確認されている。多くの事例において、そのログイン元は、一般的な個人や企業のインターネット・サービスではなく、VPS ホスティング・プロバイダに関連付けられた IP アドレスであるという。
最初の VPN 侵害からランサムウェアの展開までの時間は極めて短く、被害者が対応する余裕がほとんど無い状況である。この悪意の VPN ログインは、遅くとも 2024年10月ころから確認されているが、最新のキャンペーンにおいては、著しいエスカレーションが観測されている。
未修正の脆弱性が、存在する可能性が高いとされている。すべてのユーザー組織に対して Arctic Wolf が推奨するのは、公式パッチが開発/展開されるまでの間は、SonicWallの SSL VPN サービスを直ちに無効化することである。この措置は、初期アクセスおよびネットワーク侵害を防止するという目的に適するものである。
この重要な対策に加え、セキュリティ専門家たちが強調するのは、ファイアウォール・セキュリティを強化するための、一般的なベストプラクティスの実践である。その一方で SonicWall が推奨するのは、ボットネット対策などのセキュリティ・サービスの有効化/全リモート・アクセス・アカウントへの MFA の適用/定期的な更新による適切なパスワード管理の実施である。
それに加えて、管理者に対して推奨されるのは、非アクティブ/未使用のローカル・ユーザーア・カウントの削除と、不要な VPN アクセス権を持つアカウントの削除であり、それにより攻撃対象領域を縮小すべきである。
さらに、ユーザー組織に対して推奨されるのは、このキャンペーンに関連するとみられる、特定のホスティングに関連する Autonomous System Number (ASN) リストから発信される、VPN 認証試行のブロックである。
これらのネットワーク自体が、本質的に悪意のものというわけではないが、このコンテキストにおいて VPN 認証に使用されるという事実は、きわめて疑わしいものである。
Arctic Wolf Labs は、このキャンペーンに関する調査を継続しており、詳細が判明し次第、続報を提供する予定であるという。その間において、SonicWallファイアウォールを使用する、すべての組織に対して強く推奨されるのは、自らのセキュリティ体制を再評価し、このアクティブな脅威に対処するための、速やかな対策を講じることだ。
なお、SonicWall の SMA 100シリーズにおける、サポート終了済みアプライアンスに関しては、ゼロデイのリモート・コード実行脆弱性と、OVERSTEP と呼ばれる高度なバックドアを組み合わせるキャンペーンが、研究者たちにより確認され、再び注目を集めている。
SonicWall の SSL VPN 機能に存在する未知のゼロデイ脆弱性が、Akira ランサムウェア・グループにより悪用されているとのことです。パッチが完全に適用されている環境での侵入が成功していることから、未知の脆弱性の悪用が疑われているようです。ご利用のチームは、十分に ご注意ください。よろしければ、SonicWall SSL VPN で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.