ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), SonicWall’un güvenlik duvarlarını etkileyen yakın zamanda düzeltilmiş uygunsuz bir erişim kontrolü güvenlik açığı olan CVE-2024-40766’yı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi ve böylece saldırganlar tarafından aktif olarak istismar edildiğini doğruladı.
KEV girişinde bunun fidye yazılımı kampanyalarında kullanıldığına dair bir şey yazmıyor olsa da hem Arctic Wolf hem de Rapid7 buna işaret eden dolaylı kanıtlar olduğunu söylüyor.
Şu ana kadar bildiklerimiz
SonicWall’un, CVE-2024-40766’nın “potansiyel olarak vahşi doğada istismar edildiğini” ve güvenlik açığının SSLVPN özelliğinin yanı sıra cihazların yönetim erişimini de etkilediğini söylemek üzere güvenlik duyurusunu değiştirdiği gün, Arctic Wolf araştırmacısı Stefan Hostetler, Akira fidye yazılımı iştiraklerinin, SonicWall cihazlarındaki SSLVPN kullanıcı hesaplarının tehlikeye atılmasını içeren bir başlangıç erişim vektörüyle saldırılar gerçekleştirdiğini gözlemlediklerini paylaştı.
“Her durumda, tehlikeye atılan hesaplar Microsoft Active Directory gibi merkezi bir kimlik doğrulama çözümüyle entegre edilmek yerine cihazların kendilerine yerel olarak yerleştirilmişti. Ayrıca, tüm tehlikeye atılan hesaplar için MFA devre dışı bırakıldı ve etkilenen cihazlardaki SonicOS aygıt yazılımı, CVE-2024-40766’ya karşı savunmasız olduğu bilinen sürümler içindeydi,” diye belirtti.
Rapid7 Pazartesi günü, “9 Eylül 2024 itibarıyla Rapid7, fidye yazılımı grupları da dahil olmak üzere, SonicWall SSLVPN hesaplarının hedef alındığı veya tehlikeye atıldığı birkaç yeni olayın (hem harici hem de Rapid7 tarafından gözlemlenen) farkındadır.” diyerek konuya dahil oldu.
Şirket, “CVE-2024-40766 gibi güvenlik açıkları, kurban ortamlarına ilk erişim için sıklıkla kullanılıyor” dedi ve CVE-2024-40766’yı bu olaylarla ilişkilendiren kanıtlar hala dolaylı olsa da, yöneticilere, en son SonicOS aygıt yazılımı sürümüne yükseltme yaparak veya güvenlik duvarı yönetimini ve SSLVPN erişimini güvenilir kaynaklara kısıtlayarak ve mümkün olduğunda internet erişimini devre dışı bırakarak istismar tehdidini derhal azaltmaları tavsiyesinde bulundu.
SonicWall ayrıca, “SonicWall, yerel olarak yönetilen hesapları olan SSLVPN kullanıcılarıyla GEN5 ve GEN6 güvenlik duvarlarını kullanan müşterilere, güvenliği artırmak ve yetkisiz erişimi önlemek için parolalarını derhal güncellemelerini şiddetle tavsiye ediyor” dedi ve yöneticilerin tüm SSLVPN kullanıcıları için çok faktörlü kimlik doğrulamayı etkinleştirmelerini önerdi.