Ransomware partners maken misbruik van een kritieke beveiligingskwetsbaarheid in SonicWall SonicOS firewall-apparaten om netwerken van slachtoffers binnen te dringen.

Geregistreerd als CVE-2024-40766, heeft deze fout in onjuiste toegangscontrole invloed op Gen 5, Gen 6 en Gen 7 firewalls. SonicWall heeft dit op 22 augustus opgelost en waarschuwde dat het alleen van invloed was op de beheerinterface van de firewalls.

Echter, op vrijdag onthulde SonicWall dat de beveiligingskwetsbaarheid ook invloed had op de SSLVPN-functie van de firewall en nu werd misbruikt in aanvallen. Het bedrijf waarschuwde klanten om “de patch zo snel mogelijk toe te passen voor getroffen producten” zonder details te geven over exploitatie in het wild.

Op dezelfde dag koppelden onderzoekers van Arctic Wolf de aanvallen aan Akira ransomware partners, die SonicWall-apparaten gebruikten om aanvankelijke toegang tot de netwerken van hun doelwitten te krijgen.

“In elk geval waren de gecompromitteerde accounts lokaal voor de apparaten zelf in plaats van te zijn geïntegreerd met een gecentraliseerde authenticatieoplossing zoals Microsoft Active Directory,” zei Stefan Hostetler, Senior Threat Intelligence Researcher bij Arctic Wolf.

“Bovendien was MFA uitgeschakeld voor alle gecompromitteerde accounts, en de SonicOS-firmware op de getroffen apparaten behoorde tot de versies die bekend waren kwetsbaar te zijn voor CVE-2024-40766.”

Cyberbeveiligingsbedrijf Rapid7 zag ook ransomware-groepen die recent SonicWall SSLVPN-accounts aanvielen, maar zei dat “het bewijs dat CVE-2024-40766 aan deze incidenten koppelt, nog steeds indirect is.”

Arctic Wolf en Rapid7 spiegelden de waarschuwing van SonicWall en drongen er bij beheerders op aan om zo snel mogelijk te upgraden naar de nieuwste versie van de SonicOS-firmware.

Federale agentschappen opgeroepen om te patchen voor 30 september

CISA volgde op maandag met het toevoegen van de kritieke toegangscontrolefout aan zijn catalogus van bekende geëxploiteerde kwetsbaarheden, waarbij federale agentschappen werden opgedragen om kwetsbare SonicWall-firewalls op hun netwerken binnen drie weken voor 30 september te beveiligen, zoals voorgeschreven door Binding Operational Directive (BOD) 22-01.

De mitigatieaanbevelingen van SonicWall omvatten het beperken van firewallbeheer en SSLVPN-toegang tot vertrouwde bronnen en het uitschakelen van internettoegang waar mogelijk. Beheerders moeten ook multifactorauthenticatie (MFA) inschakelen voor alle SSLVPN-gebruikers met behulp van TOTP of op e-mail gebaseerde eenmalige wachtwoorden (OTPs).

Aanvallers richten zich vaak op SonicWall-apparaten en -apparatuur in cyberspionage- en ransomware-aanvallen. Zo onthulden SonicWall PSIRT en Mandiant vorig jaar dat vermoedelijke Chinese hackers (UNC4540) malware installeerden die firmware-upgrades overleefde op niet-gepatchte SonicWall Secure Mobile Access (SMA) apparaten.

Meerdere ransomware-bendes, waaronder HelloKitty en FiveHands, nu vergezeld door Akira, hebben ook SonicWall-beveiligingsfouten uitgebuit om aanvankelijke toegang tot de bedrijfsnetwerken van hun slachtoffers te krijgen.

SonicWall bedient meer dan 500.000 zakelijke klanten in 215 landen en territoria, waaronder overheidsinstanties en enkele van ‘s werelds grootste bedrijven.