Ransomware-ul Akira exploatează o nouă vulnerabilitate din SonicWall SSLVPN
Sursă: https://www.bleepingcomputer.com
Gruparea de ransomware Akira exploatează în mod activ CVE-2024-40766, o vulnerabilitate critică privind controlul accesului veche de un an, pentru a obține acces neautorizat la dispozitivele SonicWall.
Persoanele rău intenționate exploatează această vulnerabilitate de securitate pentru a obține acces la rețelele țintă prin intermediul terminalelor SSL VPN SonicWall neactualizate.
SonicWall a lansat un patch pentru CVE-2024-40766 în august anul trecut, marcându-l ca fiind exploatat în mod activ. Vulnerabilitatea permite accesul neautorizat la resurse și poate provoca blocarea firewall-ului.
La momentul respectiv, SonicWall a recomandat insistent ca aplicarea actualizării să fie însoțită de o resetare a parolei pentru utilizatorii ce dețin conturi SSLVPN gestionate local.
Fără a schimba parolele după actualizare, persoanele rău intenționate ar putea utiliza datele de autentificare expuse pentru conturi valide cu scopul de a configura sistemul de autentificare multi-factor (MFA) sau sistemul de parolă unică bazată pe timp (TOTP) și să obțină acces.
Luna trecută, SonicWall a anunțat că analizează până la 40 de incidente de securitate legate de această activitate.
CVE-2024-40766 afectează următoarele versiuni de firewall:
- Gen 5: Dispozitive SOHO care rulează versiunea 5.9.2.14-12o și versiuni mai vechi;
- Gen 6: Diverse modele TZ, NSA și SM care rulează versiunile 6.5.4.14-109n și mai vechi;
- Gen 7: Modelele TZ și NSA care rulează SonicOS versiunea 7.0.1-5035 și versiuni mai vechi.
Administratorilor de sistem li se recomandă să urmeze sfaturile privind aplicarea patch-urilor și atenuarea riscurilor transmise de furnizor în buletinul aferent.
Administratorii trebuie să actualizeze la versiunea de firmware 7.3.0 sau o versiune ulterioară, să schimbe parolele conturilor SonicWall, să implementeze autentificarea multi-factor (MFA), să atenueze riscul asociat grupurilor implicite SSLVPN și să restricționeze accesul la Virtual Office Portal la rețelele de încredere/interne.
Sursă: https://www.bleepingcomputer.com/news/security/akira-ransomware-exploiting-critical-sonicwall-sslvpn-bug-again/
