«Дыра» по умолчанию. Стандартная настройка в корпоративных VPN открывает дверь для вымогателей

leer en español

SonicWall Rapid7 Akira SSLVPN уязвимость вымогательское ПО
«Дыра» по умолчанию. Стандартная настройка в корпоративных VPN открывает дверь для вымогателей
SonicWall Rapid7 Akira SSLVPN уязвимость вымогательское ПО

SonicWall защищает так, что вам даже пароли менять не надо...хакеры сами зайдут.

image

В августе 2024 года SonicWall выпустила уведомление о безопасности SNWLID-2024-0015, связанное с уязвимостью некорректного контроля доступа в SSLVPN на устройствах Gen5, Gen6 и Gen7. Проблема позволяла обойти ограничения и получить доступ к оборудованию при определённых условиях. Компания закрыла уязвимость и предоставила исправления, однако спустя время выяснилось, что часть систем осталась без корректной защиты.

В сентябре началась новая волна атак, в ходе которой операторы вымогательского ПО Akira начали целенаправленно эксплуатировать устройства SonicWall. Первоначально атаки выглядели как свежая кампания, но позже SonicWall уточнила, что речь идёт о последствиях всё того же августовского дефекта, если администраторы не выполнили полное обновление и настройку. На это указала и Rapid7, которая направила срочные уведомления клиентам и рекомендовала срочно завершить все шаги по устранению уязвимости. Инцидентная команда Rapid7 заметила рост числа проникновений через SonicWall.

Позднее SonicWall дополнительно предупредила о рисках, связанных с Default Users Group Security Risk. В определённых LDAP-конфигурациях пользователи, которым не должен быть разрешён доступ к SSLVPN, всё же могли пройти аутентификацию и войти в систему. Rapid7 также фиксировала злоупотребление порталом Virtual Office Portal, встроенным в устройства SonicWall. Этот интерфейс предназначен для настройки MFA/TOTP для пользователей SSLVPN, но при публичной доступности он позволяет злоумышленникам активировать двухфакторную защиту от имени реальных учётных записей, если им заранее удалось получить логин и пароль. По собранным данным, группа Akira может комбинировать все три уязвимых сценария для организации взломов и последующего развёртывания шифровальщика.

Akira действует с начала 2023 года по модели RaaS и известна атаками на пограничных устройства. Типовая атака включает вход через SSLVPN, получение привилегий до уровня сервисных учётных записей, поиск и выкачивание конфиденциальных файлов с серверов, отключение резервного копирования и финальное шифрование инфраструктуры на уровне гипервизора.

Чтобы снизить риск, Rapid7 советует администраторам: сменить пароли всех локальных учётных записей на SonicWall и удалить неиспользуемые, проверить включение многофакторной аутентификации для SSLVPN, исключить возможность избыточных прав у Default Groups, ограничить доступ к Virtual Office Portal только из доверенных сетей и отслеживать обращения к нему по порту 4433. Кроме того, следует убедиться в установке последних обновлений прошивок, изолировать и делать неизменяемыми резервные копии, актуализировать виртуализационное ПО, контролировать использование привилегированных учётных записей через Group Policy и направлять журналы в SIEM для лучшей видимости активности.