研究者は、脅威者が盗んだ有効な認証情報を使用して、大規模なキャンペーンで100以上のSonicWall SSLVPNアカウントを侵害したと警告している。
短期間で切断されたケースもありましたが、ネットワークスキャンやローカルのWindowsアカウントへのアクセスを試みたケースもありました。
マネージド・サイバーセキュリティ・プラットフォームのハントレスが複数の顧客環境で観測したところ、この活動のほとんどは10月4日に始まっていた。
研究者は、「脅威の主体は、侵害されたデバイス間で複数のアカウントに急速に認証を行っている」と述べ、「これらの攻撃の速度と規模は、攻撃者がブルートフォースではなく、有効な認証情報を制御しているように見えることを示唆している」と付け加えた。
この攻撃は、Huntressが保護している16の環境にわたって100を超えるSonicWall SSLVPNアカウントに影響を与えており、10月10日現在も進行中の重要かつ広範なキャンペーンであることを示している。
ほとんどの場合、悪意のあるリクエストはIPアドレス202.155.8[.]73から発信されていたと研究者は述べています。
認証ステップの後、Huntressは、脅威行為者が多数のローカルWindowsアカウントにアクセスしようとする、攻撃の偵察および横移動ステップに特有の活動を観察しました。
Huntressは、彼らが観察した一連の侵害と、すべてのクラウドバックアップ顧客のファイアウォール設定ファイルを公開した最近のSonicWallの侵害を結びつける証拠は見つからなかったと強調している。
これらのファイルには非常に機密性の高いデータが含まれているため、これらのファイルは暗号化されており、中の認証情報と秘密はAES-256アルゴリズムを使って個別に暗号化されている。
攻撃者がファイルを解読することは可能だが、暗号化された形で認証パスワードとキーを見ることになる、とネットワーク・セキュリティ企業は説明している。
Huntressの研究者が観察した活動に関するコメントをSonicWallに求めたが、声明はすぐに得られなかった。
ソニックウォールのセキュリティ・チェックリストによると、システム管理者は以下の保護措置を講じる必要がある:
- すべてのローカルユーザーのパスワードと一時アクセスコードをリセットし、更新する。
- LDAP、RADIUS、またはTACACS+サーバーのパスワードを更新する。
- すべてのIPSec site-to-siteおよびGroupVPNポリシーの秘密を更新する。
- L2TP/PPPoE/PPTP WANインターフェースのパスワードを更新する
- L2TP/PPPoE/PPTP WANインターフェースをリセットする。
Huntressは、WAN管理とリモートアクセスが不要な場合は直ちに制限し、すべてのシークレットがローテーションされるまでHTTP、HTTPS、SSH、SSL VPNを無効にするか制限するという追加対策を提案している。
外部APIキー、ダイナミックDNS、SMTP/FTP認証情報も無効にし、ファイアウォールと管理システムに関連するオートメーション・シークレットも無効にする。
すべての管理者アカウントとリモートアカウントは、多要素認証で保護する。サービスの再導入は、各ステップで不審な動きがないか観察するために、段階的な方法で実行されなければならない。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments