Sonicwall, SSLVPN etkinleştirilmiş SSLVPN özellikli Gen 7 güvenlik duvarlarından yararlanan son Akira fidye yazılımı saldırılarının sıfır gün kusurundan ziyade eski bir güvenlik açığından yararlandığını söylüyor.
Şirket, saldırganların Ağustos 2024’te yetkisiz bir erişim kusuru olan CVE-2024-40766’yı hedeflediğini söylüyor.
“Şimdi son SSLVPN etkinliğinin sıfır günlük bir güvenlik açığına bağlı olmadığına dair güvenimiz var.”
“Bunun yerine, CVE-2024-40766 ile ilgili tehdit faaliyeti ile daha önce açıklanmış ve kamu danışma Snwlid-2024-0015’te belgelenmiş olan tehdit faaliyeti ile önemli bir ilişki vardır.”
CVE – 2024-40766, Sonicos’ta kritik bir SSLVPN erişim kontrolü kusurudur, bu da savunmasız uç noktalara yetkisiz erişime izin verir ve saldırganların oturumları kaçırmasına veya korunan ortamlarda VPN erişimi kazanmasına olanak tanır.
Kusur, kabaca bir yıl önce açıklamasının ardından, kurumsal ağları ihlal etmek için kullanan Akira ve Sis Fidye Yazılımı operatörleri de dahil olmak üzere kapsamlı bir şekilde sömürüldü.
Cuma günü, Arctic Wolf Labs ilk olarak, bu varsayımı destekleyen Akira fidye yazılımı saldırısı kalıplarını fark ettikten sonra Sonicwall Gen 7 güvenlik duvarlarında sıfır gün güvenlik açığının potansiyel varlığını ima etti.
Sonicwall, devam eden bir kampanyanın farkında olduğunu hızla doğruladı ve müşterilere SSL VPN hizmetlerini kapatmalarını ve durum temizlenene kadar güvenilir IP adreslerine bağlantıyı sınırlamalarını tavsiye etti.
40 olayla ilgili iç soruşturmaların ardından, satıcı şimdi saldırganların ürünlerinde sıfır günlük bir kırılganlıktan yararlanma olasılığına itiraz ediyor.
Bunun yerine, Sonicwall, Akira saldırılarının, Gen 6’dan Gen 7 güvenlik duvarlarına geçerken CVE-2024-40766’yı hafifletmek için önerilen eylem seyrini takip etmeyen uç noktaları hedeflediğini söylüyor.
Sonicwall, “Olayların çoğu, yerel kullanıcı şifrelerinin geçiş sırasında taşındığı ve sıfırlanmadığı Gen 6’dan Gen 7 güvenlik duvarlarına geçişlerle ilgilidir.”
“Parolaların sıfırlanması, orijinal danışmanlıkta belirtilen kritik bir adımdı.”
Önerilen eylem şimdi, daha güçlü kaba kuvvet ve MFA korumalarına sahip olan 7.3.0 veya üstüne ürün yazılımını güncellemek ve özellikle SSLVPN için kullanılan tüm yerel kullanıcı şifrelerini sıfırlamaktır.
Sonicwall da müşterilere bu son güncellemeyi e -postayla gönderirken, birçoğu satıcının iddialarının doğruluğu hakkındaki şüphelerini ifade etmek için Reddit’e gitti ve içindeki her şeyin kendi deneyimleriyle kontrol etmediğini söyledi.
Bazıları, Gen 7 güvenlik duvarlarına geçmeden önce var olmayan hesaplarda ihlal ettiklerini ve hatta Sonicwall’un günlüklerini incelemeyi reddettiğini iddia ettiklerini belirtti.
Bu çelişkili raporlar, güncellemesinde kullanılan belirsiz ifadelerle birleştiğinde, belirsizlik için yer bırakıyor, bu nedenle önerilen önlemlerin uyanıklığı ve derhal uygulanması çok önemlidir.
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.