攻撃者は現在、**SonicWall** Gen6 SSL-VPNアプライアンスでVPN認証情報の総当たり攻撃（brute-forcing）と多要素認証（MFA）のバイパスを積極的に行っています。これにより、ランサムウェア攻撃に使用されるツールの展開が可能になっています。 これらの侵入中、攻撃者は通常、ネットワーク偵察を行い、内部システムでの認証情報再利用をテストするために30分から60分ログインしたままにし、その後ログアウトします。 ### 脆弱性：CVE-2024-12802 **SonicWall**は、**CVE-2024-12802**に関するセキュリティアドバイザリを発行し、Gen6デバイスにファームウェアアップデートをインストールするだけでは不十分であると警告しました。脆弱性を完全に緩和するには、LDAPサーバーの手動再設定が*必要*です。これを怠ると、システムはMFAバイパスに対して脆弱なままになります。 **ReliaQuest**の研究者は、2月から3月にかけて複数の侵入に対応し、それらを「中程度の確信度で、**CVE-2024-12802**の最初の実世界での悪用であり、複数の環境にわたる**SonicWall**デバイスを標的としている」と評価しました。 研究者たちは、パッチが適用されたデバイス（アップデートされたファームウェアを実行している）でさえ、必要な緩和策が完了していなかったため、脆弱なままであることを発見しました。 Gen7およびGen8デバイスでは、新しいファームウェアバージョンに更新するだけで、**CVE-2024-12802**に完全に対処できます。 ### 観測された悪用活動 **ReliaQuest**の報告によると、あるインシデントでは、攻撃者はわずか30分で内部ネットワークにアクセスし、ドメイン参加済みのファイルサーバーに到達しました。その後、共有されたローカル管理者パスワードを使用してRDP経由でリモート接続を確立しました。 攻撃者は、エンドポイント保護を無効にするために、**Cobalt Strike**ビーコン（コマンドアンドコントロール（C2）通信のためのポストエクスプロイトフレームワーク）と脆弱なドライバーを展開しようとしました。これは、Bring Your Own Vulnerable Driver（BYOVD）技術を使用している可能性が高いです。 幸いなことに、インストールされていたエンドポイント検出および応答（EDR）ソリューションが、ビーコンとドライバーの両方をブロックしました。 .jpg) *出典：ReliaQuest* 攻撃者の意図的なログアウトとそれに続くログイン（時には異なるアカウントを使用）に基づき、**ReliaQuest**は、この脅威アクターはランサムウェアグループへのアクセスを販売する初期アクセスブローカー（IAB）であると考えています。 昨年、**Akira**ランサムウェアギャングは**SonicWall** SSL VPNデバイスを標的にし、MFAが有効であったにもかかわらず正常にログインしました。ただし、当時のそれらの攻撃で使用された正確な方法は確認されていませんでした。 ### CVE-2024-12802への対処：緩和策 **CVE-2024-12802**の脆弱性は、User Principal Name（UPN）ログイン形式に対するMFA強制の欠如に起因します。これにより、有効な認証情報を持つ攻撃者は直接認証でき、MFAをバイパスできます。 Gen6 **SonicWall**デバイスで脆弱性を完全に緩和するには、ベンダーのアドバイザリで詳述されているように、最新ファームウェアに更新した*後*、以下の手順を実行してください。 1. 「Qualified login name」フィールドでuserPrincipalNameを使用している既存のLDAP構成を削除します。 2. ローカルにキャッシュ/リストされているLDAPユーザーを削除します。 3. 設定されているSSL VPNの「User Domain」（LocalDomainにロールバックします）を削除します。 4. ファイアウォールを再起動します。 5. 「Qualified login name」にuserPrincipalNameを含めずにLDAP構成を再作成します。 6. 後で脆弱なLDAP構成を復元しないように、新しいバックアップを作成します。 **ReliaQuest**は、攻撃者が複数のセクターや地域にわたって**CVE-2024-12802**を悪用して初期アクセスを獲得したと高い確信を持っています。 **ReliaQuest**によると、不正なログイン試行はログ上で通常のMFAフローのように見え、防御者を誤解させる可能性がありました。ログに`sess=”CLI”`が存在することは、これらの攻撃の重要な兆候であり、スクリプト化または自動化されたVPN認証を示唆しています。管理者はこのシグナルを積極的に監視する必要があります。 その他の潜在的な兆候には、イベントID 238および1080、および疑わしいVPS/VPNインフラストラクチャからのVPNログインが含まれます。 Gen6 SSL-VPNアプライアンスは2024年4月16日にサポート終了を迎え、セキュリティアップデートを受け取らなくなったため、現在サポートされているバージョンへの移行が強く推奨されます。 <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2> <p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p> <p>This guide covers the 6 surfaces you actually need to validate.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p> </div> </div>