Aktív SonicWall VPN kihasználás
2025. július végén az Arctic Wolf megfigyelte a SonicWall tűzfal eszközöket célzó ransomware aktivitás növekedését, amelynek célja a kezdeti hozzáférés megszerzése. A vizsgált behatolások során rövid időn belül több ransomware behatolást figyeltek meg, amelyek mindegyike a SonicWall SSL VPN-eken keresztül történő VPN-hozzáférést érintette.
Bár még nem zárható ki véglegesen minden esetben, hogy brute force-szal vagy password spraying-gel fértek hozzá a hitelesítő adatokhoz, a rendelkezésre álló bizonyítékok egy zero day sérülékenység létezésére utalnak. Egyes esetekben a teljesen patch-elt SonicWall eszközök is érintettek voltak. Annak ellenére, hogy a TOTP MFA engedélyezve volt, egyes esetekben a fiókok mégis kompromittálódtak.
Ezzel a tevékenységgel kapcsolatos telemetria vizsgálatok során a Huntress is bizonyítékot talált arra, hogy ez a kompromittálás a TZ és NSa sorozatú SonicWall tűzfalakra korlátozódhat, amelyekben az SSLVPN engedélyezve van. A Huntress szerint a feltételezett sérülékenységa 7.2.0-7015-ös és korábbi firmware-verziókban létezik.
A fenyegetés elleni védelem érdekében a következő intézkedések javasoltak:
- Kapcsolja ki a SonicWall VPN-t. Ez a leghatékonyabb módja hálózata védelmének. Erősen javasolt tiltani az SSL VPN-hozzáférést a SonicWall eszközökön, amíg a hivatalos javítás és útmutatás meg nem jelenik.
- Ha nem tudja letiltani, akkor zárja le az eszközt. Ha a VPN üzleti szempontból kritikus, azonnal korlátozza a hozzáférést az ismert, megbízható IP-címek minimális listájára. Szegmentálja a hálózatot, hogy megakadályozza, hogy a készülék kompromittálása azonnal hozzáférést biztosítson a kritikus szerverekhez, például a tartományvezérlőkhöz.
- Ellenőrizze a szolgáltatási fiókokat. A sonicwall- vagy LDAP felhasználónak nem kell tartományi rendszergazdának lennie. Győződjön meg arról, hogy a szolgáltatási fiókok a legkisebb jogosultság elvét követik.
- Vadásszon rosszindulatú tevékenységre a közétett IoC-k alapján.