Ransomware συμμορίες εκμεταλλεύονται μια κρίσιμη ευπάθεια σε συσκευές firewall που τρέχουν SonicWall SonicOS, με απώτερο στόχο να παραβιάσουν τα δίκτυα των θυμάτων.
Η ευπάθεια παρακολουθείται ως CVE-2024-40766 και είναι ένα ζήτημα ελέγχου πρόσβασης που επηρεάζει τα Gen 5, Gen 6 και Gen 7 firewalls. Η SonicWall τη διόρθωσε στις 22 Αυγούστου και προειδοποίησε ότι επηρέαζε μόνο το management access interface των firewalls. Ωστόσο, την περασμένη εβδομάδα, αποκάλυψε ότι η ευπάθεια επηρεάζει, επίσης, τη δυνατότητα SSLVPN του τείχους προστασίας και μάλιστα έχει ήδη αρχίσει να χρησιμοποιείται για την πραγματοποίηση επιθέσεων.
Η SonicWall προτρέπει τους πελάτες να εφαρμόσουν την ενημέρωση το συντομότερο δυνατό, για να παραμείνουν προστατευμένοι.
Δείτε επίσης: LiteSpeed Cache Ευπάθεια: Σε κίνδυνο 6 εκατ. WordPress sites
Ερευνητές ασφαλείας της Arctic Wolf έχουν εντοπίσει επιθέσεις από affiliates της ransomware συμμορίας Akira, οι οποίες στόχευαν συσκευές SonicWall, μέσω της ευπάθειας.
Όπως εξήγησε ο ερευνητής Stefan Hostetler, το MFA απενεργοποιήθηκε σε όλους τους παραβιασμένους λογαριασμούς και οι συσκευές έτρεχαν έκδοση SonicOS firmware που ήταν ευάλωτη στην ευπάθεια CVE-2024-40766.
Η εταιρεία κυβερνοασφάλειας Rapid7 εντόπισε, επίσης, ομάδες ransomware που στοχεύουν λογαριασμούς SonicWall SSLVPN, αλλά δεν είναι απόλυτα σίγουρο αν συνδέονται με αυτή την ευπάθεια.
Οι ομοσπονδιακές υπηρεσίες καλούνται να διορθώσουν την ευπάθεια
Η CISA πρόσθεσε την ευπάθεια ελέγχου πρόσβασης της SonicWall στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV), διατάζοντας τις ομοσπονδιακές υπηρεσίες να εφαρμόσουν τις ενημερώσεις στα SonicWall firewalls τους έως τις 30 Σεπτεμβρίου.
Ο κατάλογος KEV της CISA είναι πολύ χρήσιμος για τους οργανισμούς σε όλο τον κόσμο που θέλουν να μαθαίνουν για τις νέες απειλές και ενδιαφέρονται για την καλύτερη διαχείριση ευπαθειών και την ιεράρχηση προτεραιοτήτων.
Δείτε επίσης: Ευπάθεια στο LoadMaster επιτρέπει στους χάκερς να εκτελούν αυθαίρετο κώδικα
Γενικά, η CISA βοηθά πολύ στην προστασία και την αντιμετώπιση των απειλών κυβερνοασφάλειας. Ο οργανισμός αυτός συνεργάζεται με διάφορους τομείς, όπως οι ιδιωτικές επιχειρήσεις, οι κυβερνήσεις των πολιτειών και οι τοπικές αρχές, για να βελτιώσει την ασφάλεια των ψηφιακών συστημάτων.
Άλλα μέτρα προστασίας
Άλλες συμβουλές μετριασμού του κινδύνου περιλαμβάνουν τον περιορισμό της διαχείρισης του τείχους προστασίας και της πρόσβασης SSLVPN σε αξιόπιστες πηγές και την απενεργοποίηση της πρόσβασης στο Διαδίκτυο (όποτε είναι δυνατόν). Οι διαχειριστές θα πρέπει επίσης να ενεργοποιήσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους χρήστες SSLVPN που χρησιμοποιούν TOTP ή κωδικούς πρόσβασης μίας χρήσης (OTP) που βασίζονται σε email.
Δείτε επίσης: Η Veeam διόρθωσε ευπάθειες στο Backup & Replication (VBR)
Οι εισβολείς συχνά στοχεύουν συσκευές SonicWall στα πλαίσια επιθέσεων κυβερνοκατασκοπείας και ransomware. Για παράδειγμα, οι ransomware συμμορίες HelloKitty και FiveHands, είχαν χρησιμοποιήσει στο παρελθόν ευπάθειες SonicWall για να αποκτήσουν αρχική πρόσβαση στα εταιρικά δίκτυα των θυμάτων τους.
Η SonicWall έχει περισσότερους από 500.000 επιχειρηματικούς πελάτες παγκοσμίως, συμπεριλαμβανομένων κρατικών υπηρεσιών και ορισμένων από τις μεγαλύτερες εταιρείες στον κόσμο. Επομένως, η προστασία των προϊόντων της είναι εξαιρετικά σημαντική.
Πηγή: www.bleepingcomputer.com
