SonicWallの重大な脆弱性(CVE-2024-40766)を ランサムウェア 攻撃グループAkiraが悪用
2024年9月6日 UTMメーカーのSonicWall(ソニックウォール)はアドバイザリーを更新し、直近で発生した重大な脆弱性(CVE-2024-40766)が悪用される可能性があるので、早急にデバイスにパッチの適用を促すメッセージを発表しました。また海外のセキュリティ会社Arctic Wolf は悪名高いランサムウェア 攻撃グループ「Akira」がこの脆弱性を悪用していると指摘しています。
目次
ランサムウェア攻撃グループ Akiraが脆弱性を悪用
Arctic Wolf は、悪名高いランサムウェア 攻撃グループ「Akira」がこの脆弱性を利用して SonicWallの SSLVPN ユーザー アカウントを侵害していることが明らかになりました。
攻撃の標的は無効になっている多要素認証 (MFA) と脆弱な SonicOS ファームウェア バージョンを持つローカル アカウントとしています。同社は対策として
・バージョンアップ
を推奨しています。
SonicWallの脆弱性(CVE-2024-40766)の概要
SonicOS の脆弱性で、2024 年 8 月 22 日に脆弱性リストに公開されました。
この脆弱性は認証されていないリモートの攻撃者がリソースに不正にアクセスしたり、特定の条件下でファイアウォールをクラッシュさせたりすることが可能になります。
なお、脆弱性のスコアはCVSS v3 スコア: 9.3とかなり危険度が高いです。
SonicWall は勧告の中で、「ローカルで管理されているアカウントを持つ SSLVPN ユーザーと GEN5 および GEN6 ファイアウォールを使用している顧客は、セキュリティを強化し、不正アクセスを防ぐために、すぐにパスワードを更新することを強くお勧めします」と述べています。
影響を受けるバージョン
影響を受けるバージョンとプラットフォームは以下です。
製品 | 影響を受けるプラットフォーム | 修正版 |
SonicWall ファイアウォール | SOHO(第5世代) | 5.9.2.14-13o |
Gen6 ファイアウォール – SOHOW、TZ 300、TZ 300W、TZ 400、TZ 400W、TZ 500、TZ 500W、TZ 600、NSA 2650、NSA 3600、NSA 3650、NSA 4600、NSA 4650、NSA 5600、NSA 5650、NSA 6600、NSA 6650、SM 9200、SM 9250、SM 9400、SM 9450、SM 9600、SM 9650、TZ 300P、TZ 600P、SOHO 250、SOHO 250W、TZ 350、TZ 350W | 6.5.2.8-2n (SM9800、NSsp 12400、NSsp 12800 の場合) 6.5.4.15.116n (その他の Gen6 ファイアウォール アプライアンスの場合) | |
Gen7 ファイアウォール – TZ270、TZ270W、TZ370、TZ370W、TZ470、TZ470W、TZ570、TZ570W、TZ570P、TZ670、NSa 2700、NSa 3700、NSa 4700、NSa 5700、NSa 6700、NSsp 10700、NSsp 11700、NSsp 1370 | この脆弱性は SonicOS ファームウェア バージョン 7.0.1-5035 以降では再現されていませんが、SonicWall では最新のファームウェアをインストールすることを推奨しています。 |
過去にもSonicWall(ソニックウォール)の脆弱性が悪用される
2023年3月、中国のハッカーとみられる人物(UNC4540)が、パッチを適用していないSonicWallのゲートウェイを標的にして、ファームウェアのアップグレード後も存続する認証情報を盗むマルウェアを使用していると指摘されています。
このマルウェアは、リモート ユーザーにVPNアクセスを提供するSonicWall Secure Mobile Access 100 シリーズをターゲットにしており、 SQLコマンドを実行するbash スクリプトを使用して認証情報を盗み、TinyShell バックドアなどの他のコンポーネントを実行します。
参照
CVE-2024-40766: Critical Improper Access Control Vulnerability Impacting SonicOS
UNC4540 targets unpatched SonicWall gateways with credential-stealing malware