Araştırmacılar, bilgisayar korsanları nedeniyle SonicWall SSLVPN cihazlarının yaygın şekilde ele geçirildiği konusunda uyarıyorlar başlatılan saldırılar görünüşe göre Kaba kuvvet teknikleri kullanmak yerine gerçek kimlik bilgileriyle donanmış, Cuma günü yayınlanan bir blog gönderisine göre Huntress’den.
Huntress’in düşman taktikleri direktörü Jamie Levy, Cybersecurity Dive’a “Geçerli kimlik bilgilerine sahip görünüyorlar” dedi. “Önceden herhangi bir kaba zorlama girişiminde bulunmadan birden fazla hesaba doğrudan giriş yapma hızları, ya geçerli kimlik bilgilerine sahip olduklarını ya da oturum açmanın başka bir yolunu bulduklarını gösteriyor.”
Saldırı dalgası 4 Ekim’de başladı ve SonicWall’ın, şirketin MySonicWall bulut yedekleme hizmetinin yaygın şekilde ihlal edildiğine ilişkin ayrı bir güncellemesiyle aynı zamana denk geldi.
Huntress tarafından işaretlenen saldırılarda 16 müşteri ortamında 100’den fazla SonicWall SSLVPN hesabının güvenliği ihlal edildi. SSLVN saldırıları ile MySonicWall saldırıları arasında herhangi bir bağlantı olup olmadığı henüz belli değil.
Araştırmacılara göre, belirli durumlarda bilgisayar korsanları ilgili ağlarla bağlantıyı hızla keserken, diğer durumlarda saldırganlar tarama yaparak yerel Windows hesaplarına erişmeye çalıştı.
Saldırılar ağustos ayında bildirilenlere benzerlik gösteriyor. Araştırmacılar bir konuyu araştırıyordu Gen 7 güvenlik duvarlarını hedef alan bir dizi saldırı Akira fidye yazılımıyla bağlantılıydı.
Araştırmacılar ayrıca potansiyel bir sıfır gün güvenlik açığının kullanıldığına dair endişelerini de dile getirdi ancak SonicWall iddiaları araştırdı ve saldırıların bir saldırı içerdiğini söyledi. daha önce açıklanan uygunsuz erişim kontrolü güvenlik açığı.
SonicWall, Ağustos saldırılarının çoğunun, müşterilerin yeni nesil güvenlik duvarlarına yükseltme yaptıktan sonra güncel olmayan yerel şifreler kullanması nedeniyle gerçekleştiğini söyledi. SonicWall o dönemde müşterilerini yerel ve LDAP hesap kimlik bilgilerini değiştirmeye çağırıyordu.
SonicWall’ın bu güvencelerine rağmen araştırmacılar, yeni saldırı serilerinin eş zamanlı olarak nasıl gerçekleştiğine dair endişelerini dile getirdi.
Huntress araştırmacıları bulgularını SonicWall’a bildirdiler ancak Pazartesi günü itibarıyla henüz bir yanıt alamadılar. SonicWall sözcüsü, Siber Güvenlik Dalışı’ndan yorum taleplerine yanıt vermedi