SonicWall onderzoekt een reeks cyberaanvallen waarbij Gen 7-firewalls met ingeschakelde SSL VPN-diensten doelwit zijn geworden van gerichte ransomwarecampagnes. De apparaten draaien verschillende firmwareversies en werden volgens het bedrijf gebruikt als toegangspunt voor aanvallers.Â
Zowel intern als via externe partijen zoals Arctic Wolf, Google Mandiant en Huntress zijn meldingen binnengekomen van verdachte activiteit die mogelijk duidt op een nieuw beveiligingslek.
Sinds eind juli is sprake van een duidelijke toename in zogenoemde pre-ransomware-inbraken via SonicWall SSL VPN’s. Daarbij verkrijgen aanvallers eerst toegang tot het netwerk zonder direct ransomware uit te rollen. In veel gevallen gaat het om volledig gepatchte apparaten, waarbij zelfs het resetten van inloggegevens en het gebruik van multi-factor authenticatie onvoldoende bleken om compromittering te voorkomen. Onderzoekers vermoeden daarom het bestaan van een zero-day-kwetsbaarheid.
Huntress meldde recent dat zijn Security Operations Center meerdere incidenten heeft onderzocht waarbij aanvallers binnen enkele uren na de initiële inbraak via een kwetsbaar apparaat toegang kregen tot domeincontrollers. Daarbij werden onder andere accounts gecompromitteerd, beveiligingstools uitgeschakeld en ransomware geïnstalleerd. In meerdere gevallen lijkt het te gaan om Akira-ransomware, een variant die eerder al misbruik maakte van kwetsbaarheden in SonicWall-systemen.
MFA beschermt onvoldoende
Arctic Wolf bevestigde vergelijkbare bevindingen en waarschuwde dat MFA op zichzelf niet voldoende bescherming biedt. In de meeste gevallen verloopt de aanval niet via geautomatiseerde tools, maar gaat het om handmatige, zogeheten hands-on-keyboard-aanvallen, waarbij aanvallers actief en doelgericht systemen overnemen. Dit verhoogt de ernst en complexiteit van de incidenten.
De recente aanvallen tonen sterke gelijkenis met eerdere campagnes waarbij de kwetsbaarheid CVE-2024-40766 werd misbruikt. Volgens Arctic Wolf gaan de aanvallers meestal snel te werk na het verkrijgen van toegang, wat de detectie en reactie bemoeilijkt. Organisaties van uiteenlopende grootte lopen risico, aangezien de ransomwaregroepen opportunistisch te werk gaan.
Google meldde dat ook volledig gepatchte, maar end-of-life SonicWall-apparaten zijn misbruikt voor het installeren van een achterdeur en rootkit, mogelijk met het oog op datadiefstal en afpersing. Er is een reële mogelijkheid dat daarbij gebruik is gemaakt van een onbekende remote code execution-kwetsbaarheid.
Patches binnenkort beschikbaar
SonicWall heeft nog geen bevestiging gegeven van een nieuw lek. Wel geeft het bedrijf aan zo snel mogelijk patches en aanbevelingen te publiceren zodra daar duidelijkheid over is. In de tussentijd adviseert de onderneming om SSL VPN-diensten uit te schakelen waar mogelijk en om het netwerk te beperken tot vertrouwde IP-adressen. Ook adviseert het om ongebruikte accounts te verwijderen en een streng wachtwoord- en MFA-beleid te hanteren.
Het zou de tweede zero-day voor SonicWall zijn dit jaar. Dit nadat in januari een kritieke kwetsbaarheid in het SMA 1000-product werd gemeld. Die werd waarschijnlijk al misbruikt voordat er een patch beschikbaar was. In februari volgde een ernstige authenticatiebypass. Die werd snel uitgebuit nadat proof-of-conceptcode werd gedeeld.
Volgens Arctic Wolf komt hiermee hun eerdere voorspelling uit dat edge-apparaten zoals firewalls en VPN-gateways steeds vaker doelwit worden van initiële toegang bij ransomware-aanvallen. De huidige golf bevestigt dat ransomwaregroepen massaal gebruikmaken van kwetsbaarheden in toegangsapparatuur. Die devices dienen dan als springplank voor bredere aanvallen.