SonicWall VPNs Actively Exploited for 0-Day Vulnerability to Bypass MFA and Deploy Ransomware
2025/08/04 CyberSecurityNews — SonicWall – Secure Mobile Access (SMA) の、VPN/Firewall アプライアンスに存在するとされるゼロデイ脆弱性が、活発に悪用されるという状況にある。攻撃者たちは、初期侵入から僅か数時間で多要素認証 (MFA) 回避し、ランサムウェア展開を可能にしている。一連の攻撃は、SonicWall アプライアンスへの侵入から始まり、迅速かつ一貫した手順により展開されている。Huntress/Arctic Wolf/Sophos などのセキュリティ企業が報告するのは、これらのデバイスを標的とする深刻なインシデントが急増しており、関連組織にとって継続的かつ重大な脅威となっていることだ。
2025年7月下旬以降において、複数のインシデントに対応してきた Huntress のセキュリティ研究者たちは、多要素認証が有効化されている環境においても、攻撃が短時間で成功している点から、未修正の脆弱性の存在を強く疑っている。
一連の攻撃をタイムラインで見ると、脅威アクターたちは初期アクセスを得た直後から、ネットワーク全体の制御を目指して積極的に行動している様子が分かるという。LDAP や SonicWall デバイスで用いられる管理者アカウントの中の、過剰な権限を持つサービス・アカウントが、攻撃者たちにより即座に悪用され、管理者権限が掌握されている。
持続的なアクセスを確保する攻撃者たちは、Cloudflared トンネルや OpenSSH などのツールを導入し、バックドアを作成していることが確認されている。
権限昇格を達成した攻撃者は、自動スクリプトと手動オペレーションを組み合わせて、ラテラル・ムーブメントを実施する。さらに、WMI や PowerShell Remoting を用いたネットワーク探索が行われ、Veeam Backup データベースからの認証情報の抽出や、Active Directory データベース (NTDS.dit) の盗取により、オフラインでのパスワード・クラッキングが行われている。
攻撃の最終段階では、セキュリティ対策の無効化が行われる。Windows 標準ツールの悪用により Microsoft Defender が停止させられ、ファイアウォール・ルールの変更により遠隔アクセスが可能になっていく。
その後に、ボリューム・シャドウ・コピーが削除され、続いて Akira ランサムウェアが展開される。このような展開の方法は、復旧の困難化を意図したものである。
なお、それぞれの攻撃で用いられるツール・セットにはバラ付きがあるため、異なる脅威アクターが同一の脆弱性を利用している可能性も疑われる。確認された手口として挙げられるのは、Advanced IP Scanner や WinRAR などの正規ツールによる偵察とデータ・ステージング、および、LOLBin やカスタム・スクリプトの使用などである。それに加えて、攻撃者が新規ユーザー・アカウントを作成し、ネットワーク上の持続的プレゼンスを確保する例も報告されている。
この活発な脅威に対処するために、セキュリティ専門家たちは、緊急の推奨措置を発表している。Huntress が強く推奨するのは、公式パッチが提供されるまでの暫定措置として、SonicWall SSL VPN のアクセスを直ちに無効化することだ。
業務上 VPN を停止することが困難な場合には、アクセス元を信頼できる IP アドレスに厳格に限定する必要がある。
さらに、サービスアカウントを監査し、最小権限の権限付与の原則に則った運用がなされているかを確認すべきである。高権限アカウントの侵害は、攻撃チェーンのコア要素となるため、それらの制御は特に重要である。それに加えて、ユーザー組織環境内における侵害の兆候 (IOC) を能動的に探索し、検出に努めることも強く推奨される。
IOC
| Indicator Type | Description or Example |
|---|---|
| Attacker IP Addresses | 42.252.99[.]59 45.86.208[.]240 77.247.126[.]239 104.238.205[.]105 104.238.220[.]216 181.215.182[.]64 193.163.194[.]7 193.239.236[.]149 194.33.45[.]155 |
| Malicious Executables | w.exe (Akira ransomware) win.exe (ransomware) C:\ProgramData\winrar.exe (WinRAR) C:\ProgramData\OpenSSHa.msi (OpenSSH installer) C:\Program Files\OpenSSH\sshd.exe (SSH exfil) C:\programdata\ssh\cloudflared.exe (Cloudflare tunnel) C:\Program Files\FileZilla FTP Client\fzsftp.exe (FileZilla FTP) C:\ProgramData\1.bat (unknown script) C:\ProgramData\2.bat (unknown script) |
| Hash (SHA-256) | d080f553c9b1276317441894ec6861573fa64fb1fae46165a55302e782b1614d (w.exe) |
| ASN/CIDR Infrastructure | AS24863 – LINK-NET – 45.242.96.0/22 AS62240 – Clouvider – 45.86.208.0/22 AS62240 – Clouvider – 77.247.126.0/24 AS23470 – ReliableSite LLC – 104.238.204.0/22 AS23470 – ReliableSite LLC – 104.238.220.0/22 AS174 – COGENT-174 – 181.215.182.0/24 AS62240 – Clouvider – 193.163.194.0/24 AS62240 – Clouvider – 193.239.236.0/23 AS62240 – Clouvider – 194.33.45.0/24 |
| Created User Accounts | backupSQL lockadmin |
| Passwords Used | Password123$ Msnc?42da VRT83g$%ce |
おそらく未知のものと思われる、SonicWall SMA 製品に存在する脆弱性が原因となり、多要素認証を回避される深刻な攻撃が報告されています。特に、過剰な権限を持つサービスアカウントが標的となり、攻撃者による管理権限の奪取が容易になっていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、SonicWall で検索と、Akira で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.