Krytyczna luka w zaporach sieciowych SonicWalla została wykorzystana przez cyberprzestępców w atakach ransomware – twierdzą badacze bezpieczeństwa.

Podatność w zabezpieczeniach kontroli dostępu SonicOS (oznaczona jako CVE-2024-40766) uzyskała notę 9,3 na 10 w skali zagrożeń. Problem dotyczy urządzeń SonicWall Gen 5 i Gen 6, a także urządzeń Gen 7 z systemem SonicOS 7.0.1-5035 i starszymi wersjami. Błąd może prowadzić do nieautoryzowanego dostępu do zasobów, a w określonych warunkach do awarii zapory.

Dostawca 22 sierpnia opublikował listę zagrożonych zapór sieciowych, jak też udostępnił poprawki.

Pod koniec ubiegłego tygodnia SonicWall przyznał, że luka wpływa nie tylko na SonicOS, lecz także na SSLVPN. Ostrzegł przy tym, że „jest potencjalnie wykorzystywana” i zalecił jak najszybsze wdrożenie łatki.

Aby zminimalizować wpływ zagrożeń, producent rekomenduje ograniczenie zarządzania zaporą do zaufanych źródeł lub wyłączenie zarządzania siecią WAN zapory z dostępu do internetu. W przypadku SSLVPN także radzi się upewnić, że dostęp jest ograniczony do zaufanych źródeł lub wyłączyć dostęp SSLVPN z internetu.

Badacze: hakerzy zaatakowali

Badacz z Arctic Wolf, Stefan Hostetler, twierdzi że ataki z pomocą ransomware Akira przeprowadzano wykorzystując jako początkowy dostęp naruszenie kont użytkowników SSLVPN.

CISA, czyli amerykańska agencja ds. cyberezpieczeństwa, potwierdziła, że wie o zgłoszeniach ataków. Dodała lukę SonicOS do swojego katalogu błędów w zabezpieczeniach, o których wiadomo, że były wykorzystywane.

Także badacze z Rapid7 uważają, że konta SonicWall SSLVPN były celem lub zostały naruszone przez napastników, w tym przez grupy ransomware. Przyznają jednak, że „dowody łączące CVE-2024-40766 z tymi incydentami są nadal poszlakowe”.

Hakerzy wzięli na cel firewalle i VPN-y

Ataki wskazują na większą koncentrację hakerów na wykorzystywaniu urządzeń zabezpieczających sieć. Liczba głośnych ataków za pośrednictwem zapór sieciowych i luk w zabezpieczeniach VPN wzrosła w 2024 roku.

Większa skuteczność w blokowaniu urządzeń końcowych sprawiły, że zapory sieciowe i sieci VPN stały się ostatnio szczególnie ważnym celem dla napastników – ostrzegają eksperci ds. bezpieczeństwa.