شرکای باجافزار از یک نقص امنیتی مهم در فایروالهای SonicWall SonicOS بهرهبرداری میکنند تا بتوانند به شبکههای قربانیان دسترسی پیدا کنند و آنها را مورد حمله قرار دهند.
این اسیب پذیری با نام CVE-2024-40766 شناسایی شده، این نقص در کنترل دسترسی نادرست، فایروالهای نسل ۵، نسل ۶ و نسل ۷ را تحت تأثیر قرار میدهد. SonicWall آن را در تاریخ ۲۲ اوت برطرف کرد و هشدار داد که این نقص تنها بر رابط دسترسی مدیریتی فایروالها تأثیر میگذارد.
SonicWall اخیراً اعلام کرده که این آسیبپذیری امنیتی نه تنها بر رابط مدیریتی، بلکه بر قابلیت SSLVPN فایروال نیز تأثیر گذاشته و در حال حاضر در حملات سایبری مورد بهرهبرداری قرار گرفته است. به مشتریان توصیه شده است که سریعاً بهروزرسانی امنیتی را اعمال کنند، اما جزئیاتی درباره حملات واقعی منتشر نشده است.
محققان امنیتی Arctic Wolf در همان روز اعلام کردند که حملات سایبری به دستگاههای SonicWall توسط شرکای باجافزار Akira انجام شده تا به این ترتیب به شبکههای قربانیان دسترسی اولیه پیدا کنند.
در این حملات، حسابهای کاربری که به خطر افتادهاند به صورت محلی بر روی دستگاهها تنظیم شده بودند و با سیستمهای متمرکز احراز هویت مانند Microsoft Active Directory یکپارچه نشده بودند. این مطلب توسط Stefan Hostetler، محقق ارشد اطلاعات تهدید در Arctic Wolf، بیان شده است.
در این حملات، احراز هویت چندعاملی برای تمامی حسابهای نفوذ شده غیرفعال بوده و سیستمعامل SonicOS روی دستگاههای تحت تأثیر، در نسخههایی بوده که به عنوان نسخههای آسیبپذیر به آسیبپذیری CVE-2024-40766 شناخته شدهاند.
شرکت Rapid7 نیز در حملات اخیر گروههای باجافزاری به حسابهای SonicWall SSLVPN توجه کرده، اما تأکید کرده است که شواهد فعلی که این حملات را به آسیبپذیری CVE-2024-40766 مرتبط میکند، هنوز بهطور مستقیم و قطعی نیستند و بیشتر غیرمستقیم و احتمالیاند.
دو شرکت Arctic Wolf و Rapid7 نیز مانند SonicWall هشدار داده و به مدیران سیستمها توصیه کردهاند که هرچه سریعتر به آخرین نسخه فریمور SonicOS ارتقاء دهند تا از دستگاههای خود در برابر آسیبپذیریها محافظت کنند.
سازمانهای فدرال باید تا تاریخ ۳۰ سپتامبر، وصله یا بروزرسانیهای لازم را اعمال کنند.
CISA در روز دوشنبه مشابه عمل کرد و نقص حیاتی کنترل دسترسی را به فهرست آسیبپذیریهای شناخته شده و مورد سوءاستفاده اضافه کرد، و به سازمانهای فدرال دستور داد که فایروالهای آسیبپذیر SonicWall در شبکههای خود را ظرف سه هفته و تا تاریخ ۳۰ سپتامبر ایمنسازی کنند، همانطور که توسط دستور عملیاتی الزامی (BOD) 22-01 مشخص شده است.
برای کاهش آسیبپذیریها، توصیههای SonicWall شامل محدود کردن دسترسی به مدیریت فایروال و SSLVPN، غیرفعال کردن دسترسی به اینترنت، و فعال کردن احراز هویت چندعاملی (MFA) با استفاده از روشهای TOTP یا OTP ایمیلی است.
مهاجمان به طور مکرر دستگاهها و وسایل SonicWall را در حملات جاسوسی سایبری و باجافزاری هدف قرار میدهند و به عنوان مثال، سال گذشته مشخص شد که هکرهای مشکوک چینی بدافزاری را بر روی دستگاههای SonicWall که وصله نشده بودند، نصب کرده بودند که این بدافزار حتی پس از بروزرسانیهای فریمور نیز فعال باقی مانده بود.
گروههای باجافزاری مختلف، از جمله HelloKitty و FiveHands، که اخیراً گروه Akira نیز به آنها افزوده شده، از آسیبپذیریهای امنیتی دستگاههای SonicWall استفاده کردهاند تا به شبکههای شرکتی قربانیان خود دسترسی اولیه پیدا کنند.
شرکت SonicWall به تعداد زیادی مشتری تجاری در کشورهای مختلف و مناطق مختلف خدمات ارائه میدهد، و این مشتریان شامل سازمانهای دولتی و شرکتهای بزرگ جهانی نیز میشود.
