Mithilfe alter Sicherheitslücke Akira-Ransomware greift Sonicwall-Geräte an

In Fällen, bei denen die Migration von Sonicwall-Firewalls nicht sicher durch­geführt wurde, können Cyberkriminelle über eine ein Jahr alte Sicher­heitslücke auf die Geräte zugreifen. Hinter den aktiven Angriffen wird die Ransomware-Gruppe Akira vermutet.

VPN- und SMA-Appliances, Firewalls und die Management-Konsolen von Sonicwall waren in den vergangenen Monaten immer wieder das Ziel von Cyberangriffen. Wie das Threat Mo­ni­toring Team von Rapid7 jüngst berichtet, sind derzeit SSL-VPN-Firewalls von Sonicwall erneut unter Beschuss. Dahinter stecke die berüchtigte Ransomware-Gruppe Akira, die dafür eine schon seit langem bekannte Sicherheitslücke ausnutzt.

Hotfix verfügbar

Über 2.000 Sonicwall-Geräte von Zero-Day-Schwachstelle bedroht

Ein Jahr alte Sicherheitslücke wiederbelebt

Wie Sonicwall in einem aktuellen Sicherheitshinweis erläutert, gehe man nicht davon aus, dass es sich bei den von Rapid7 beobachteten Angriffen um die Ausnutzung einer Zero-Day-Sicherheitslücke handle. Stattdessen würde die Schwachstelle CVE-2024-40766 in Sonicwall-Firewalls erneut ausgenutzt. Diese wurde bereits im August 2024 entdeckt und geschlossen und betraf die Firewalls-Appliances des Herstellers der Generation 5, 6 und 7. Bei erfolgreicher Ausnutzung von CVE-2024-40766 konnten Cyberkriminelle sich Zugriff auf sensible Daten verschaffen.

Derzeit untersuche Sonicwall knapp 40 Vorfälle im Zusammenhang mit dieser Schwachstelle. In einigen der Fällen hätten Nutzer bei der Migration von der Generation 6 auf 7 der Firewall die lokalen Benutzerpasswörter übernommen und nicht zurückgesetzt. Dies sei jedoch eine wich­tige Schutzmaßnahme gewesen, wie sie auch in dem ursprünglichen Sicherheitshinweis von 2024 beschrieben worden sei. Vor allem würde Sonicwall eine zunehmende Bedrohungs­aktivität beobachten, bei der Cyberangreifer versuchen würden, Benutzer­anmelde­infor­ma­tionen per Brute Force zu stehlen. Dies bedeutet, dass Angreifer versuchen, sich Zugang zu einem Konto oder System zu verschaffen, indem sie systematsich und automatisiert alle möglichen Kombinationen möglicher Nutzernamen und Passwörter ausprobieren, bis sie die richtige finden. Um sich vor dieser Methode zu schützen, sollten Sonicwall-Kunden die Botnet-Filterung an ihren Firewalls aktivieren.

Zudem fordert der Hersteller alle Kunden, die Konfigurationen von einer Gen-6-Firewall auf neuere Firewalls importiert haben, dazu auf, folgende Maßnahmen umzusetzen:

• Aktualisieren Sie die Firmware auf Version 7.3.0.

• Setzen Sie alle Passwörter lokaler Benutzerkonten mit SSLVPN-Zugriff zurück, insbesondere wenn diese bei der Migration von Gen 6 auf Gen 7 übernommen wurden.

• Aktivieren Sie Botnet-Schutz und Geo-IP-Filterung.

• Entfernen Sie nicht verwendete oder inaktive Benutzerkonten.

• Setzen Sie Multifaktor-Authentifizierung (MFA) und sichere Passwortrichtlinien durch.

Darüber hinaus weist Sonicwall darauf hin, dass wenn lokale Administratorkonten kom­pro­mittiert wurden, Angreifer administrative Funktionen wie Paketerfassung, Debugging, Pro­tokollierung, Konfigurationssicherung oder MFA-Kontrolle ausnutzen können, um zusätz­liche Anmeldeinformationen zu erhalten, den Datenverkehr zu überwachen oder die allgemeine Sicherheitslage zu schwächen. Daher wird empfohlen, alle erfassten Pakete, Protokolle, MFA-Einstellungen und kürzlich vorgenommenen Konfigurationsänderungen auf ungewöhnliche Aktivitäten zu überprüfen. Zudem sollten Nutzer alle möglicherweise offengelegten Anmeldeinformationen rotieren.

Update: Sechs Sicherheitslücken in SAG-Firmware

Sonicwall behebt Schwachstellen in Firewall und Firmware

Akira verdächtigt

Wie Rapid7 in seiner Analyse erläutert, würde die derzeitige Angriffskampagne auf die Sonicwall-Firewalls mit den früheren Aktivitäten der Akira-Gruppe übereinstimmen. Denn Akira würde einen immer ähnlichen Angriffsablauf verfolgen. Der Erstzugriff erfolge über die SSL-VPN-Komponente des Geräts, die eigentlich für den sicheren Fernzugriff sorgt. Danach würden die Akteure versuchen, ihre Rechte auf ein Konto mit höheren Rechten auszuweiten und von dort aus, sensible Daten zu stehlen und zu verschlüsseln, weitere Zugriffe freizugeben oder Backups zu löschen.

Auf Basis seiner Beobachtungen empfiehlt Rapid7, folgende Sicherheitsmaßnahmen umzusetzen:

• Segmentierung der lokalten und Site-Backup

• Aktivieren der MFA für den Zugriff auf Cloud- oder Site-Backups

• Backups sollten unveränderlich sein.

• Aktualisieren der gesamten Virtualisierungsinfrastruktur mit der aktuellsten Firware/Software

• Erhöhte Konten oder Dienstkonten sollten der Gruppenrichtlinie hinzugefügt werden, um eine eingeschränkte Gruppe innerhalb von Active Directory zu erzwingen und so eine Ausbreitung erhöhter Anmeldeinformationen zu verhindern.

Remote ausnutzbar

Sicherheitslücke in SonicOS legt Firewalls lahm

(ID:50550167)