ランサムウェアの攻撃者は、古いSonicWall SRAの欠陥を利用しています(CVE-2019-7481)

今年の初めから、さまざまなサイバー攻撃者が多数のゼロデイ脆弱性を利用して、さまざまなSonicWall ソリューションを危険にさらしていました。Crowdstrikeは、サイバー犯罪グループがファームウェアバージョン8.xおよび9.xを実行しているSonicWall Secure Remote Access(SRA)4600デバイスに影響を与える古いSQLインジェクションの脆弱性であるCVE-2019-7481を悪用して組織のネットワークに侵入していることを警告します。

CVE-2019-7481

「最近のいくつかの調査では、CrowdStrikeのインシデントレスポンスチームは、ブルートフォースなしでVPNアクセスを介した根本原因を示す相関的な証拠を持っています。これらの調査には共通の分母があります。すべての組織が9.0.0.5ファームウェアを実行するSonicWallSRAVPNアプライアンスを使用しました」と研究者のHeatherSmithとHannoHeinrichsは述べています。

なんでこんなことが起こっているの?

VPNデバイスは、リモートの従業員に仕事をするために必要な制御されたアクセスを提供しようとしている組織の主力であり、サイバー犯罪者と国民国家の関係者の両方にとってお気に入りのターゲットになっています。

SonicWall SRA 4600デバイスのサポートは、2019年11月1日に終了し、それ以来、同社は、サポートされている新しいデバイスライン(Secure Mobile Access – SMA)にアップグレードするようにお客様にアドバイスしています。ただし、サポートされていないデバイスはすぐに交換されないことが多いことは誰もが知っているため、SonicWall PSIRTは、SMAファームウェアアップデートを実装することで古いSRAデバイスにパッチを適用できることも顧客に伝えました。

残念ながら、2019年にSMAデバイスに規定された推奨パッチであるファームウェアバージョン9.0.0.5は、SRAデバイスのCVE-2019-7481を修正しなかったことが判明しました。

この欠陥に対して利用可能な概念実証とコードが公開されているため、攻撃者がそれを利用しようとしたのも不思議ではありません。

あなたは何をするべきか?

まだSRAデバイスを実行している企業は、使用しているファームウェアバージョンを確認し、侵入の痕跡がないかログを確認する必要があります。

「SonicWallの推奨事項は、レガシーSRAデバイスを2021年のゼロデイ開示に照らして推奨される10.xバージョンにアップグレードすることですが、CrowdStrikeはさらに、ベンダーテストの対象となる新しいデバイスのレガシーモデルを置き換えることを検討することを組織に推奨します。とサポート」と研究者は付け加えた。

それとは別に、VPNアクセスやその他のアプリ、ポータル、電子メールを多要素認証でリモートアクセスに保護し、最初の障壁を通過する可能性のある攻撃者を妨害するエンドポイント検出および応答(EDR)ソフトウェアを実装するように組織にアドバイスします。

更新– 2021年6月15日午後1時12分PT