Akira fidye yazılımı çetesi, Sonicwall cihazlarına yetkisiz erişim elde etmek için bir yıllık kritik-şiddetli erişim kontrolü kırılganlığı olan CVE-2024-40766’yı aktif olarak kullanıyor.
Bilgisayar korsanları, açılmamış Sonicwall SSL VPN uç noktaları aracılığıyla hedef ağlara erişim elde etmek için güvenlik sorunundan yararlanıyor.
Sonicwall, geçen yıl Ağustos ayında CVE-2024-40766 için bir yama yayınladı ve aktif olarak sömürüldüğünü işaretledi. Kusur, yetkisiz kaynak erişimine izin verir ve güvenlik duvarı çökmelerine neden olabilir.
O sırada Sonicwall, güncellemenin uygulanmasına yerel olarak yönetilen SSLVPN hesaplarına sahip kullanıcılar için bir şifre sıfırlaması eşlik etmesini şiddetle tavsiye etti.
Güncellemeden sonra şifreleri döndürmeden, tehdit aktörleri çok faktörlü kimlik doğrulama (MFA) veya zaman tabanlı bir kerelik Sassword (TOTP) sistemini yapılandırmak ve erişim kazanmak için geçerli hesaplar için maruz kalan kimlik bilgilerini kullanabilirler.
Akira, Eylül 2024’ten itibaren aktif olarak yararlanan ilk fidye yazılımı grupları arasındaydı.
Avustralya Siber Güvenlik Merkezi’nden (ACSC) bir uyarı dün, organizasyonları yeni kötü niyetli etkinlik konusunda uyarıyor ve derhal harekete geçiyor.
“ASD’nin ACSC’si, Sonicwall SSL VPN’lerinde (CVE-2024-40766) 2024 kritik bir kırılganlığın Avustralya’daki aktif sömürüsündeki son artışın farkındadır.
Avustralya Siber Güvenlik Merkezi, “Sonicwall SSL VPN’leri aracılığıyla savunmasız Avustralya organizasyonlarını hedefleyen Akira fidye yazılımının farkındayız” diyor.
Siber güvenlik firması Rapid7 benzer gözlemler yaptı ve Sonicwall cihazlarına akira fidye yazılımı saldırılarının yakın zamanda yeniden ateşlendiğini ve muhtemelen eksik düzeltmeye bağlı olduğunu bildirdi.
RAPID7, VPN’yi doğrulamak ve VPN’ye bağlanmak için varsayılan kullanıcılar grubunun geniş erişim izninden yararlanmak gibi izinsiz giriş yöntemlerini ve Sonicwall cihazlarındaki sanal ofis portalı için varsayılan genel erişim iznini vurgulamaktadır.
Bu etkinliğin son zamanlarda siber güvenlik topluluğunda karışıklık yarattığına dikkat edilmelidir ve birçok fidye yazılımı aktörlerinin Sonicwall ürünlerinde sıfır gün güvenlik açığından aktif olarak yararlandığını bildirmektedir.
Satıcı, “son SSLVPN faaliyetinin sıfır gün güvenlik açığına bağlı olmadığına dair yüksek bir güvene sahip olduğunu” ve “CVE-2024-40766 ile ilgili tehdit faaliyeti ile anlamlı korelasyon bulduğunu” belirten yeni bir güvenlik danışmanlığı yayınladı.
Geçen ay Sonicwall, bu faaliyetle ilgili 40’a kadar güvenlik olayı araştırdığını belirtti.
CVE-2024-40766 Aşağıdaki güvenlik duvarı sürümlerini etkiler:
- Gen 5: Sürüm 5.9.2.14-12o ve daha büyük sürüm çalıştıran soho cihazlar
- Gen 6: Çeşitli TZ, NSA ve SM Modelleri Sürümleri Çalışan 6.5.4.14-109N ve daha büyük
- Gen 7: TZ ve NSA Modelleri Sonicos Build sürüm 7.0.1-5035 ve üstü sürüm.
Sistem yöneticilerinin, satıcı tarafından ilgili bültende sağlanan yama ve azaltma tavsiyesini izlemeleri önerilir.
Yöneticiler ürün yazılımı sürüm 7.3.0 veya üstüne güncelleme, Sonicwall hesap şifrelerini döndürmeli, çok faktörlü kimlik doğrulamayı (MFA) zorlamalı, SSLVPN varsayılan grupların riskini azaltmalı ve sanal ofis portalının güvenilir/dahili ağlara erişimini kısıtlamalıdır.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.