نفوذ گسترده به حساب‌های SonicWall VPN با استفاده از اطلاعات کاربری سرقت‌شده

پژوهشگران هشدار داده‌اند که بازیگران تهدید در جریان یک کارزار گسترده، با استفاده از اعتبارنامه‌های معتبر و سرقت‌شده، بیش از صد حساب کاربری SonicWall SSLVPN را مورد نفوذ قرار داده‌اند.

اگرچه در برخی موارد مهاجمان پس از مدت کوتاهی اتصال خود را قطع کرده‌اند، اما در سایر موارد اقدام به اسکن شبکه و تلاش برای دسترسی به حساب‌های محلی Windows کرده‌اند.

بیشتر این فعالیت‌ها از ۴ اکتبر آغاز شده است؛ طبق مشاهدات پلتفرم Huntress (ارائه‌دهنده خدمات امنیت سایبری مدیریت‌شده)، این رفتار در محیط‌های متعدد مشتریان مشاهده شده است.
پژوهشگران اعلام کردند:
«بازیگران تهدید با سرعت بالا به چندین حساب در دستگاه‌های آلوده وارد می‌شوند» و افزودند: «سرعت و گستردگی این حملات نشان می‌دهد مهاجمان احتمالاً کنترل اعتبارنامه‌های معتبر را در اختیار دارند و از روش Brute-force استفاده نمی‌کنند.»

این حملات تاکنون بیش از ۱۰۰ حساب کاربری SonicWall SSLVPN را در ۱۶ محیط تحت حفاظت Huntress تحت تأثیر قرار داده و نشان‌دهنده یک کارزار گسترده و در حال انجام تا تاریخ ۱۰ اکتبر است.

به گفته پژوهشگران، در بیشتر موارد، درخواست‌های مخرب از آدرس IP به ۲۰۲٫۱۵۵٫۸[.]۷۳ منشاء گرفته‌اند.

پس از مرحله احراز هویت، Huntress فعالیت‌هایی مرتبط با شناسایی (Reconnaissance) و حرکت جانبی (Lateral Movement) را مشاهده کرده است، زیرا مهاجم تلاش می‌کرد به تعداد زیادی از حساب‌های محلی Windows دسترسی پیدا کند.

Huntress تأکید کرده است که هیچ مدرکی مبنی بر ارتباط این نفوذها با رخنه اخیر SonicWall که منجر به افشای فایل‌های پیکربندی فایروال برای تمامی مشتریان Cloud Backup شد، پیدا نشده است.

به‌دلیل حساسیت بالای این داده‌ها، فایل‌های مذکور رمزگذاری‌شده هستند و اعتبارنامه‌ها و اسرار درون آن‌ها به‌صورت جداگانه با الگوریتم AES-256 رمزگذاری شده‌اند.
شرکت SonicWall توضیح داد که حتی در صورت رمزگشایی فایل‌ها، مهاجم تنها می‌تواند رمزها و کلیدهای احراز هویت را در فرم رمزگذاری‌شده مشاهده کند.

پایگاه خبری BleepingComputer برای دریافت توضیحات در مورد این فعالیت‌ها با شرکت SonicWall تماس گرفته است، اما تاکنون پاسخی رسمی ارائه نشده است.

بر اساس چک‌لیست امنیتی SonicWall، مدیران سیستم باید اقدامات حفاظتی زیر را انجام دهند:

• بازنشانی و به‌روزرسانی تمامی رمزهای عبور کاربران محلی و کدهای دسترسی موقت
• به‌روزرسانی رمزهای عبور در سرورهای LDAP، RADIUS یا TACACS+
• به‌روزرسانی Secrets در تمامی سیاست‌های IPSec Site-to-Site و GroupVPN
• به‌روزرسانی رمزهای عبور رابط‌های L2TP/PPPoE/PPTP WAN
• بازنشانی رابط‌های L2TP/PPPoE/PPTP WAN

همچنین، Huntress اقدامات تکمیلی زیر را توصیه می‌کند:

• محدودسازی فوری مدیریت WAN و دسترسی از راه دور در صورت عدم نیاز
• غیرفعال‌سازی یا محدودسازی دسترسی HTTP، HTTPS، SSH و SSL VPN تا زمان تغییر کامل تمامی Secrets
• ابطال کلیدهای API خارجی، DNS پویا (Dynamic DNS) و اعتبارنامه‌های SMTP/FTP
• غیرفعال‌سازی Secrets خودکار مرتبط با فایروال و سیستم‌های مدیریتی

تمامی حساب‌های کاربری مدیریتی و از راه دور باید با احراز هویت چندمرحله‌ای (MFA) محافظت شوند.
بازگرداندن سرویس‌ها باید به‌صورت مرحله‌ای انجام شود تا در هر مرحله، فعالیت‌های مشکوک به‌دقت رصد شوند.