企業向けセキュリティ会社SonicWallは、最新のファイアウォールデバイスの重要機能であるSSLVPNを無効化するよう顧客に呼びかけました。これは、セキュリティ研究者がSonicWallの顧客を狙ったランサムウェア攻撃の増加を報告したことを受けたものです。
SonicWallは今週、Generation 7ファイアウォールを対象としたセキュリティインシデントの「顕著な増加」を確認したと発表しました。顧客がVPNを有効にしている場合に特に注意が必要としています。同社は、これらのインシデントが以前に開示された脆弱性に関連しているか、新たな脆弱性が原因かを調査中であるとしています。
セキュリティ研究者によると、ハッカーがSonicWallデバイスを狙い、被害者のネットワークに初期アクセスを得ようとしているということです。企業製品であるファイアウォールやVPNは、正当な従業員がネットワークにアクセスするためのデジタルゲートキーパーとして機能していますが、これらの製品にセキュリティ上の欠陥があると、悪意のあるハッカーが侵入し、データを盗んだり破壊したりする攻撃を可能にする恐れがあります。
セキュリティ会社Arctic Wolfは、SonicWallの顧客を狙った侵入が7月中旬にまで遡ることを確認しています。同社は、「利用可能な証拠はゼロデイ脆弱性の存在を示している」と述べ、ベンダーが問題を修正する前に発見され悪用されたセキュリティバグを指摘しています。
研究者によれば、SonicWallファイアウォールの悪用と、その後のファイル暗号化マルウェア、つまりランサムウェアの展開の間に短いギャップがあったとしています。
別のサイバーセキュリティ企業Huntress Labsは、SonicWallファイアウォールのゼロデイバグが攻撃の原因である可能性が高いとし、このバグを悪用するハッカーが企業のドメインコントローラーにアクセスしていると警告しています。ドメインコントローラーはネットワーク上のデバイスやユーザーを管理します。
Huntressはブログで、SonicWallの顧客を狙った攻撃の一部はAkiraランサムウェアグループによるものと考えていると述べました。Akiraは、Fortinetファイアウォールのような企業製品を標的にして大規模なネットワークに侵入することで知られています。
「これは重大で継続的な脅威です」とHuntressは述べています。