Les affiliés de ransomware exploitent une vulnérabilité de sécurité critique dans les dispositifs de pare-feu SonicWall SonicOS pour violer les réseaux des victimes.
Répertorié comme CVE-2024-40766, cette faille de contrôle d’accès incorrecte affecte les pare-feu Gen 5, Gen 6 et Gen 7. SonicWall l’a corrigé le 22 août et a averti qu’il n’affectait que l’interface d’accès de gestion des pare-feu.
Cependant, vendredi, SonicWall a révélé que la vulnérabilité de sécurité avait également un impact sur la fonctionnalité SSLVPN du pare-feu et était maintenant exploitée dans des attaques. La société a averti ses clients « d’appliquer le correctif dès que possible pour les produits concernés » sans partager de détails concernant l’exploitation dans la nature.
Le même jour, les chercheurs en sécurité d’Arctic Wolf ont lié les attaques aux affiliés du ransomware Akira, qui ciblaient les appareils SonicWall pour obtenir un accès initial aux réseaux de leurs cibles.
« Dans chaque cas, les comptes compromis étaient locaux aux appareils eux-mêmes plutôt que d’être intégrés à une solution d’authentification centralisée telle que Microsoft Active Directory », a déclaré Stefan Hostetler, chercheur principal en renseignements sur les menaces chez Arctic Wolf.
« De plus, MFA a été désactivé pour tous les comptes compromis, et le micrologiciel SonicOS sur les appareils affectés figurait dans les versions connues pour être vulnérables à CVE-2024-40766. »
La société de cybersécurité Rapid7 a également repéré des groupes de rançongiciels ciblant les comptes SSLVPN de SonicWall lors d’incidents récents, mais a déclaré que « les preuves reliant CVE-2024-40766 à ces incidents sont toujours circonstancielles. »
Arctic Wolf et Rapid7 ont reflété l’avertissement de SonicWall et ont exhorté les administrateurs à passer à la dernière version du micrologiciel SonicOS dès que possible.
Les agences fédérales ont reçu l’ordre de patcher d’ici le 30 septembre
CISA a emboîté le pas lundi, ajoutant la faille critique de contrôle d’accès à son catalogue de vulnérabilités exploitées connues, ordonnant aux agences fédérales de sécuriser les pare-feu SonicWall vulnérables sur leurs réseaux dans les trois semaines avant le 30 septembre, conformément à la Directive opérationnelle contraignante (BOD) 22-01.
Les recommandations d’atténuation de SonicWall incluent la restriction de la gestion du pare-feu et de l’accès SSLVPN aux sources fiables et la désactivation de l’accès Internet dans la mesure du possible. Les administrateurs doivent également activer l’authentification multifacteur (MFA) pour tous les utilisateurs SSLVPN utilisant TOTP ou des mots de passe à usage unique basés sur le courrier électronique (OTP).
Les attaquants ciblent souvent les appareils et appliances SonicWall lors d’attaques de cyberespionnage et de ransomware. Par exemple, SonicWall PSIRT et Mandiant ont révélé l’année dernière que des pirates informatiques chinois présumés (UNC4540) avaient installé des logiciels malveillants qui avaient survécu aux mises à niveau du micrologiciel sur des appliances SonicWall Secure Mobile Access (SMA) non corrigées.
Plusieurs gangs de ransomwares, dont HelloKitty et FiveHands, désormais rejoints par Akira, ont également exploité les bogues de sécurité de SonicWall pour obtenir un accès initial aux réseaux d’entreprise de leurs victimes.
SonicWall sert plus de 500 000 clients professionnels dans 215 pays et territoires, y compris des agences gouvernementales et certaines des plus grandes entreprises du monde.