Tấn công ransomware Fog và Akira khai thác lỗ hổng SonicWall VPN CVE-2024-40766
Lỗ hổng bảo mật CVE-2024-40766 là một lỗ hổng kiểm soát truy cập không đúng cách, ảnh hưởng đến phần mềm quản lý và truy cập SSL VPN của SonicWall SonicOS cho phép kẻ tấn công kẻ tấn công có thể gửi các request đặc biệt mà không cần xác thực từ đó chúng có thể thực thi mã và lệnh tùy ý từ xa.
Thông tin chi tiết
Các nhà nghiên cứu bảo mật vừa phát hiện một lỗ hổng cực kỳ nguy hiểm trong sản phẩm FortiManager, có thể bị khai thác để chiếm quyền điều khiển toàn bộ hệ thống.
Mã định danh: CVE-2024-40766
Mức độ: Critical
Điểm CVSSv3: 9.3/10
Phân loại: Lỗ hổng vượt qua xác thực và thực thi mã từ xa.
Mô tả: Lỗ hổng này liên quan đến việc quản lý quyền truy cập đối với SonicOS và dịch vụ SSL VPN, cho phép kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật mà không cần xác thực hợp lệ để truy cập trái phép vào hệ thống đánh cắp thông tin và cài đặt mã độc ransomware.
Các nhà nghiên cứu tại Arctic Wolf đã phát hiện hơn 30 cuộc tấn công từ ransomware Akira và Fog kể từ tháng 8, tất cả đều lợi dụng các SonicWall SSL VPN chưa được vá (CVE-2024-40766). Các chuyên gia đã nhận thấy sự chia sẻ IP cơ sở hạ tầng đằng sau các cuộc tấn công này.
"Vào đầu tháng 8, phòng thí nghiệm Arctic Wolf bắt đầu ghi nhận sự gia tăng đột biến các cuộc xâm nhập từ ransomware Fog và Akira, trong đó quyền truy cập ban đầu vào môi trường của nạn nhân liên quan đến việc sử dụng tài khoản SonicWall SSL VPN," thông báo viết. "Dựa trên dữ liệu về các nạn nhân thuộc nhiều ngành và quy mô tổ chức khác nhau, chúng tôi đánh giá rằng các cuộc xâm nhập có khả năng là cơ hội, và các tác nhân đe dọa không nhắm mục tiêu vào một ngành cụ thể nào."
Trước tháng 8 năm 2024, các cuộc tấn công của ransomware Fog và Akira nhắm vào nhiều loại firewall khác nhau. Tuy nhiên, kể từ đầu tháng 8, các cuộc tấn công này đã tập trung vào thiết bị của SonicWall. Các nhà nghiên cứu đã ghi nhận 30 cuộc tấn công ransomware mới từ đầu tháng 8 đến giữa tháng 10 năm 2024. Ransomware Akira được triển khai trong khoảng 75% cuộc tấn công, và ransomware Fog trong 25% còn lại. Thời gian từ lúc truy cập ban đầu qua SSL VPN đến khi thực hiện mục tiêu mã hóa đòi tiền chuộc chỉ kéo dài từ 1,5 đến 2 giờ trong một số cuộc tấn công, trong khi ở các cuộc tấn công khác, thời gian này kéo dài đến khoảng 10 giờ.
Chưa có bằng chứng kết luận rằng CVE-2024-40766 và các lỗ hổng thực thi mã từ xa khác đã bị khai thác để xâm nhập vào các thiết bị SonicWall. Các nhà nghiên cứu phỏng đoán rằng thông tin đăng nhập VPN có thể đã bị thu thập qua các phương tiện khác như các vụ vi phạm dữ liệu.
Các phiên bản bị ảnh hưởng và khắc phục
Các thiết bị và phiên bản bị ảnh hưởng:
Thiết bị thế hệ 5 (Gen 5): Tất cả các phiên bản SonicOS
Thiết bị thế hệ 6 (Gen 6): Tất cả các phiên bản SonicOS
Thiết bị thế hệ 7 (Gen 7): SonicOS phiên bản 7.0.1-5035 và các phiên bản cũ hơn
Khuyến nghị khắc phục:
Cập nhật ngay lập tức lên các bản vá mới nhất có sẵn trên mysonicwall.com
Nếu chưa thể cập nhật ngay, có thể áp dụng các biện pháp tạm thời:
Hạn chế quản lý tường lửa chỉ từ các nguồn đáng tin cậy
Tắt tính năng quản lý tường lửa WAN từ Internet
Giới hạn truy cập SSL VPN chỉ từ các nguồn tin cậy
Vô hiệu hóa truy cập SSL VPN từ Internet nếu không cần thiết
Tham khảo
Fog and Akira ransomware attacks exploit SonicWall VPN flaw CVE-2024-40766<https://securityaffairs.com/170359/cyber-crime/fog-akira-ransomware-sonicwall-vpn-flaw.html\>