SonicWallは、パッチが適用されていないエンドオブライフ(EoL)のSecure Mobile Access(SMA)100シリーズおよびSecure Remote Access(SRA)製品を標的としたランサムウェア攻撃について「緊急のセキュリティ通知」を発表しました。
SonicWall社は、パッチが適用されていないエンド・オブ・ライフ(EoL)の8.xファームウェアを実行しているSecure Mobile Access(SMA)100シリーズおよびSecure Remote Access(SRA)製品を標的とした攻撃者が、盗んだ認証情報を使用してランサムウェア攻撃を行っていることを確認しました」と述べています。
SonicWall社によると、この攻撃は、すでにパッチがリリースされている既知の脆弱性を狙った攻撃としており、SMA 1000シリーズ製品には影響がないとのことです。
SonicWall社は「SRAおよびSMA 100シリーズ製品のこれらの脆弱性に対応するための適切な措置を取らなかった場合は、標的型ランサムウェア攻撃のリスクがあります」と警告しています。
8.xのファームウェアを搭載したEoLのSMAまたはSRAデバイスを使用している企業は、ランサムウェア攻撃の重大なリスクを回避するために、ファームウェアを直ちにアップデートするか、アプライアンスをできるだけ早くインターネットから切断するようアドバイスしています
また、今回の攻撃の対象となった脆弱な8.xファームウェアを搭載した保守サポートされているSMA 210/410/500vデバイスを使用しているユーザについて、2021年初に発見された脆弱性を修正した最新バージョンに直ちにアップデートすることを勧めています
「さらに対応策として、SMAまたはSRAデバイスに関連するすべての認証情報、および同じ認証情報を使用している他のデバイスやシステムも直ちに認証情報をリセットする必要があります」とSonicWallは付け加えています。「また多要素認証(MFA)を有効にすることを強くお勧めします。」
使用している製品に応じて、SonicWallは組織に以下の対応を推奨しています。
- SRA 4600/1600(EOL 2019)の場合
- すぐに接続を切る
- パスワードのリセット
- SRA 4200/1200 (EOL 2016)
- すぐに接続を解除する
- パスワードのリセット
- SSL-VPN 200/2000/400 (EOL 2013/2014)
- すぐに接続を解除
- パスワードのリセット
- SMA 400/200 (限定的なリタイアメントモードでまだサポートされています)
- すぐに10.2.0.7-34または9.0.0.10にアップデートしてください。
- パスワードのリセット
- MFAの有効化
影響を受けたデバイスは比較的少ないですが、SonicWallは、保守サポートされているデバイスにパッチ適用したり、サポートが終了したセキュリティアプライアンスを撤去したりするよう、組織に強く勧めています。
CrowdStrike社のセキュリティ研究者であるHeather Smith氏は、攻撃で狙われている脆弱性はCVE-2019-7481としてトラックされていると述べています。
CrowdStrike Servicesのインシデントレスポンスチームは、「Secure Remote Access(SRA)4600デバイスに影響するSonicWall VPNの古い脆弱性、CVE-2019-7481を活用するeCrimeグループを確認した」と6月に発表したレポートで述べています。
SonicWall社は、6月に発表されたレポートの研究者であるCrowdStrike社のHeather Smith氏とHanno Heinrichs氏が、使用済みのSRAおよびSMA製品に影響を与える問題を報告したとして、追加の詳細情報を含むセキュリティアドバイザリを公開しました。
Comments