Tấn công của Ransomware Fog nhắm vào VPN SonicWall để xâm nhập mạng doanh nghiệp
Updated
•2 min read
Gần đây, các nhà điều hành ransomware Fog và Akira đã gia tăng việc xâm nhập vào các mạng doanh nghiệp thông qua các tài khoản VPN SonicWall. Các tác nhân đe dọa này được cho là đã khai thác lỗ hổng CVE-2024-40766, một lỗ hổng nghiêm trọng trong kiểm soát truy cập SSL VPN. SonicWall đã sửa lỗi này vào cuối tháng 8 năm 2024, nhưng chỉ một tuần sau đó, lỗ hổng này đã bị khai thác tích cực.
Chi tiết về lỗ hổng CVE-2024-40766
- Mô tả lỗ hổng: CVE-2024-40766 là một lỗ hổng kiểm soát truy cập không đúng cách trong SonicWall SonicOS, có thể dẫn đến truy cập tài nguyên trái phép và trong một số điều kiện cụ thể, gây ra sự cố cho tường lửa.
- Mức độ nghiêm trọng: Lỗ hổng này được đánh giá là nghiêm trọng với điểm CVSS v3 là 9.3, cho thấy khả năng cao cho phép kẻ tấn công truy cập mạng trái phép và có thể gây ra sự cố cho tường lửa.
- Thiết bị bị ảnh hưởng: Các thiết bị SonicWall sử dụng phiên bản firmware SonicOS dễ bị tấn công, cụ thể là các thiết bị Firewall Gen 5, Gen 6, và Gen 7.
- Giải pháp và khuyến nghị: SonicWall đã phát hành danh sách các sản phẩm và phiên bản bị ảnh hưởng cùng với các bản vá cho CVE-2024-40766. Các biện pháp khắc phục bao gồm cập nhật firmware lên phiên bản mới nhất và thực hiện các biện pháp bảo mật bổ sung như giới hạn quản lý tường lửa từ các nguồn đáng tin cậy và kích hoạt xác thực đa yếu tố (MFA) .
Tấn công và khai thác
Theo báo cáo từ Arctic Wolf, các affiliate của ransomware Akira đã sử dụng lỗ hổng này để có được quyền truy cập ban đầu vào các mạng của nạn nhân. Báo cáo cũng cảnh báo rằng các hoạt động của ransomware Akira và Fog đã thực hiện ít nhất 30 cuộc xâm nhập, tất cả đều bắt đầu bằng việc truy cập từ xa vào mạng thông qua các tài khoản VPN SonicWall.
