Akira fidye yazılımı iştirakleri de dahil olmak üzere tehdit aktörleri, SonicWall’un geçen ay 5. Nesil, 6. Nesil ve 7. Nesil güvenlik duvarı ürünlerinin bazı sürümlerinde ifşa ettiği ve düzelttiği kritik bir uzaktan kod yürütme (RCE) güvenlik açığını istismar etmeye başladı.
Saldırı faaliyeti, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı (CISA) harekete geçirdi güvenlik açığını ekleolarak tanımlandı CVE-2024-40766bilinen istismar edilen güvenlik açıkları (KEV) kataloğuna eklendi. Güvenlik açığı, CISA’nın bu hafta KEV kataloğuna eklediği ve federal sivil yürütme organı (FCEB) kurumlarının 30 Eylül’e kadar ele almasını istediği üç güvenlik açığından biri.
Uygunsuz Erişim Kontrol Hatası
CVE-2024-40766, şirketin SonicWall Firewall Gen 5 ve Gen 6 cihazlarında ve SonicOS 7.0.1-5035 ve daha eski sürümlerini çalıştıran Gen 7 cihazlarında çalışan SonicWall SonicOS’un yönetim erişim bileşeninde uygunsuz bir erişim kontrol hatasıdır. Saldırganların etkilenen cihazların tam kontrolünü ele geçirmesine ve bazı durumlarda güvenlik duvarının tamamen çökmesine neden olmasına olanak tanır.
Sonik Duvar hatayı ilk ifşa eden 22 Ağustos’ta ve CVSS ölçeğinde olası en yüksek 10 üzerinden 9,3’lük bir önem derecesi atadı. 6 Eylül’de, ağ güvenliği satıcısı, yerel SSLVPN hesaplarının da CVE-2024-40766’ya karşı savunmasız olduğunu içerecek şekilde uyarıyı güncelledi. Uyarı ayrıca müşterileri, güvenlik açığını hedef alan saldırı faaliyetleri konusunda uyardı ve kuruluşları şirketin önerdiği hafifletmeleri derhal uygulamaya çağırdı.
Artic Wolf Cuma günü şunu söyledi: Akira fidye yazılımı iştiraklerini gözlemledi SonicWall cihazlarındaki SSLVPN hesaplarını tehlikeye atmak için bu açığı kötüye kullanmak. “Her durumda, tehlikeye atılan hesaplar Microsoft Active Directory gibi merkezi bir kimlik doğrulama çözümüyle entegre edilmek yerine cihazların kendilerine yerel olarak yerleştirilmişti,” dedi Arctic Wolf. “Ek olarak, MFA tüm tehlikeye atılan hesaplar için devre dışı bırakıldı.”
SonicWall, etkilenen cihazların müşterilerinin mümkün olan en kısa sürede teknolojinin sabit sürümlerine güncelleme yapmasını istiyor. Şirket ayrıca kuruluşların güvenlik duvarı yönetim işlevlerini güvenilir kaynaklarla sınırlamalarını ve İnternet üzerinden WAN yönetimini devre dışı bırakmalarını öneriyor. “Benzer şekilde, SSLVPN için lütfen erişimin güvenilir kaynaklarla sınırlı olduğundan emin olun veya İnternet üzerinden SSLVPN erişimini devre dışı bırakın,” diye tavsiyede bulundu SonicWall.
Şirket ayrıca, şirketin Gen 5 ve Gen 6 güvenlik duvarlarının yöneticilerinin, yerel olarak yönetilen hesaplara sahip SSLVPN kullanıcılarının yetkisiz erişime karşı korumak için parolalarını hemen değiştirmelerini sağlamalarını “güçlü bir şekilde” savunuyor. Ek olarak, SonicWall, kuruluşların tüm SSLVPN kullanıcıları için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmesini önerdi.
SonicWall: Popüler Bir Hedef
SonicWall’un yönlendiriciler, VPN’ler ve diğer ağ güvenlik teknolojileri gibi güvenlik duvarı ürünleri, tehdit aktörlerinin bu ürünlerden birini tehlikeye atarak hedef ağda elde edebilecekleri yükseltilmiş ayrıcalıklar nedeniyle çekici bir saldırı hedefidir. Birçok ağ güvenlik ürünü, saldırganlara bir ağa girip çıkan tüm trafiğe ve ayrıca cihazların arkasındaki değerli varlıklara ve verilere erişim sağlar. Son yıllarda Cisco gibi güvenlik satıcıları ve CISA ve İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), saldırganların hedef cihazlara ilk erişimi elde etmek için ağ cihazlarındaki güvenlik açıklarını hedef aldıkları konusunda defalarca uyarıda bulundu.
Bu yılın başlarında, Örneğin CISAÇin’in kötü şöhretli Volt Typhoon grubunun, ilk erişimi elde etmek için Fortinet, Ivanti, NetGear, Cisco ve Citrix gibi tedarikçilerin ağ cihazlarını rutin olarak hedef aldığını tespit etti. 2023 raporundaCisco, trafik manipülasyonu ve kopyalama, altyapı keşfi ve ağ savunmalarını zayıflatmaya yönelik aktif girişimler de dahil olmak üzere sürekli kötü amaçlı etkinlik gözlemlediğini söyledi. devlet destekli aktörler tarafından ve dünya çapındaki istihbarat ajansları. Şirket, saldırganların, kurban ağında etkinleştirdikleri derin görünürlük ve kuruluşların genellikle cihazları düzgün bir şekilde güvenli ve yamalı tutmaması nedeniyle yönlendiriciler ve anahtarlar gibi ağ teknolojilerini hedeflemeyi sevdiğini değerlendirdi.
Hükümetin bu tür saldırılara maruz kalma riskinin artmasına ilişkin endişeler CISA’yı şu şekilde harekete geçirdi: bağlayıcı bir operasyonel direktif yayınlamak Haziran ayı sonlarında FCEB kurumlarının güvenlik duvarları, yönlendiriciler, anahtarlar, VPN yoğunlaştırıcılar, yük dengeleyiciler ve proxy’ler gibi belirli ağ aygıtları için yönetim arayüzlerini korumak üzere güçlü önlemler uygulamasını gerektiren bir yasa çıkarıldı.