Araştırmacılar, tehdit aktörlerinin çalıntı, geçerli kimlik bilgilerini kullanarak büyük ölçekli bir kampanyada yüzden fazla SonicWall SSLVPN hesabını ele geçirdiği konusunda uyarıyor.
Saldırganlar bazı durumlarda bağlantıyı kısa bir süre sonra kesse de bazı durumlarda ağ taramaları gerçekleştirerek yerel Windows hesaplarına erişmeye çalıştılar.
Yönetilen siber güvenlik platformu Huntress'in birden fazla müşteri ortamında gözlemlediği üzere, bu faaliyetlerin çoğu 4 Ekim'de başladı.
Araştırmacılar, "Tehdit aktörleri, güvenliği ihlal edilmiş cihazlarda birden fazla hesapta hızlı bir şekilde kimlik doğrulaması yapıyor" dedi ve şunu ekledi: "Bu saldırıların hızı ve ölçeği, saldırganların kaba kuvvet kullanmak yerine geçerli kimlik bilgilerini kontrol ediyor gibi göründüğünü gösteriyor."
Saldırılar, Huntress'in koruduğu 16 ortamda 100'den fazla SonicWall SSLVPN hesabını etkiledi; bu, 10 Ekim'de hala devam eden önemli ve yaygın bir kampanyaya işaret ediyor.
Araştırmacılar, çoğu durumda kötü niyetli isteklerin 202.155.8[.]73 IP adresinden kaynaklandığını söyledi.
Kimlik doğrulama adımının ardından Huntress, tehdit aktörü çok sayıda yerel Windows hesabına erişmeye çalışırken saldırının keşif ve yanal hareket adımlarına özgü etkinliği gözlemledi.
Huntress, gözlemledikleri çok sayıda güvenlik ihlali ile tüm bulut yedekleme müşterilerinin güvenlik duvarı yapılandırma dosyalarını açığa çıkaran son SonicWall ihlali arasında bağlantı kuran bir kanıt bulamadıklarının altını çiziyor.
Oldukça hassas veriler içerdikleri için bu dosyalar kodlanır ve içindeki kimlik bilgileri ve sırlar, AES-256 algoritması kullanılarak ayrı ayrı şifrelenir.
Ağ güvenliği şirketi, saldırganın dosyaların kodunu çözebileceğini ancak kimlik doğrulama şifrelerini ve anahtarlarını şifrelenmiş biçimde görebileceğini açıkladı.
BleepingComputer, Huntress araştırmacılarının gözlemlediği aktivite hakkında yorum almak için SonicWall ile temasa geçti ancak henüz bir açıklama yapılmadı.
SonicWall'un güvenlik kontrol listesine göre sistem yöneticilerinin aşağıdaki koruyucu adımları atması gerekiyor:
Huntress, ihtiyaç duyulmadığında WAN yönetimini ve uzaktan erişimi anında kısıtlamak ve tüm sırlar döndürülene kadar HTTP, HTTPS, SSH ve SSL VPN'yi devre dışı bırakmak veya sınırlamak gibi ek önlemler önerir.
Harici API anahtarları, dinamik DNS ve SMTP/FTP kimlik bilgileri de iptal edilmeli, güvenlik duvarı ve yönetim sistemleriyle ilgili otomasyon sırları geçersiz kılınmalıdır.
Tüm yönetici ve uzak hesaplar çok faktörlü kimlik doğrulamayla korunmalıdır. Hizmetin yeniden tanıtılması, her adımda şüpheli etkinliğin gözlemlenmesi için aşamalı bir şekilde gerçekleştirilmelidir.
İhlal ve Saldırı Simülasyon Zirvesine katılın ve güvenlik doğrulamanın geleceğini deneyimleyin. En iyi uzmanlardan bilgi alın ve yapay zeka destekli BAS'ın ihlal ve saldırı simülasyonunu nasıl dönüştürdüğünü görün.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın
SonicWall: Tüm bulut yedekleme müşterileri için çalınan güvenlik duvarı yapılandırmaları
Hizmet Masanız Yeni Saldırı Vektörüdür; İşte Onu Nasıl Savunacağınız.
Akira fidye yazılımı MFA korumalı SonicWall VPN hesaplarını ihlal ediyor
CISA, kurumlara sıfır gün saldırılarında yararlanılan Cisco kusurlarını düzeltme emri verdi
Cisco, saldırılarda istismar edilen ASA güvenlik duvarının sıfır günleri konusunda uyardı
Kaynak: Bleeping Computer