Grupa Akira ransomware koristi godinu dana staru ranjivost u SonicWall firewall-ovima u novom talasu napada, potencijalno kombinujući tri vektora za inicijalni pristup, upozorava Rapid7.
Ciljana ranjivost, praćena kao CVE-2024-40766 (CVSS skor 9.3), opisana je kao problem nepravilne kontrole pristupa koji može omogućiti hakerima da dođu do ograničenih resursa i sruše firewall u određenim okolnostima.
Iskorištavanje greške je primijećeno ubrzo nakon što je SonicWall objavio svoje saopštenje u avgustu 2024. Kompanija je naknadno ažurirala informacije i dala dodatne preporuke za mitigaciju.
„SonicWall snažno preporučuje svim korisnicima Gen5 i Gen6 firewall-ova sa lokalno upravljanim SSLVPN nalozima da odmah ažuriraju svoje lozinke kako bi pojačali sigurnost i spriječili neovlašćen pristup. Administratori moraju omogućiti opciju ‘Korisnik mora promijeniti lozinku’ za svaki lokalni nalog“, navela je kompanija.
Prošlog mjeseca, bezbjednosni istraživači upozorili su na moguće iskorištavanje zero-day ranjivosti nakon novog talasa napada na SonicWall uređaje, ali je vendor napade povezao sa CVE-2024-40766.
Sada Rapid7 navodi da je primijetio porast u iskorištavanju ranjivih SonicWall firewall-ova, podstaknut avgustovskom kampanjom napada koju je sprovela grupa Akira ransomware.
Međutim, prema sajber bezbjednosnoj firmi, godinu dana stara ranjivost možda je samo jedan od vektora koje Akira koristi u ovoj kampanji.
SSLVPN Default Users Group, bezbjednosni rizik koji omogućava korisnicima pristup SSLVPN-u čak i ako nisu ovlašćeni, takođe je mogao biti iskorišćen.
Pored toga, hakeri su mogli koristiti i Virtual Office Portal na SonicWall uređajima, koji može biti podešen za javni pristup.
„Dokazi prikupljeni tokom Rapid7 istraga sugerišu da grupa Akira potencijalno koristi kombinaciju sva tri ova bezbjednosna rizika kako bi dobila neovlašćen pristup i sprovela ransomware operacije“, navodi firma.
Aktivna najmanje od 2023, grupa Akira ransomware koristi edge uređaje za inicijalni pristup, eskalira privilegije, krade osjetljive fajlove i podatke, briše backup kopije i pokreće fajl-enkruptujući ransomware na nivou hipervizora.
Organizacijama se savjetuje da odmah primijene zakrpe koje je izdao SonicWall, sprovedu sve preporučene mitigacije vendora, rotiraju lozinke za sve SonicWall naloge, obezbijede MFA za SSLVPN servise, mitigiraju rizik povezan sa SSLVPN Default Groups i ograniče pristup Virtual Office Portalu.
Izvor: SecurityWeek
