SK-CERT Bezpečnostné varovanie V20250805-04
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
10.0 |
| Identifikátor |
| Ransomvérová skupina Akira útočí na SonicWall SSL VPN |
| Popis |
| Bezpečnostní výskumníci zo spoločnosti Arctic Wolf zachytili vlnu útokov cielených na firewally SonicWall SSL VPN siedmej generácie, ktoré vedú k infekcii ransomvérom Akira. Vektor prieniku sa zatiaľ nepodarilo identifikovať — môže sa jednať o slovníkové alebo brute force útoky, zneužitie uniknutých prihlasovacích údajov alebo o zneužitie bezpečnostnej zraniteľnosti. Nakoľko bol pozorovaný prienik aj na zariadeniach, ktoré boli plne aktualizované, po úplnej rotácii prihlasovacích údajov a s povolenou time-based one-time password viacfaktorovou autentifikáciou (TOTP MFA), výskumníci predpokladajú, že sa môže jednať aj o nezdokumentovanú zero-day bezpečnostnú zraniteľnosť. Na prihlasovanie útočníci zneužívajú VPS, pričom zaujímavosťou je, že medzi prienikom a deploymentom ransomvéru prebehol spravidla len krátky časový interval. |
| Dátum prvého zverejnenia varovania |
| 1.8.2025 |
| CVE |
| – |
| IOC |
| IP adresa útočníka: 42.252.99[.]59 45.86.208[.]240 104.238.205[.]105 77.247.126[.]239 104.238.220[.]216 193.163.194[.]7 181.215.182[.]64 193.239.236[.]149 194.33.45[.]155 Súbory a umiestnenie: sha256: d080f553c9b1276317441894ec6861573fa64fb1fae46165a55302e782b1614d win.exe C:\ProgramData\winrar.exe C:\Program Files\FileZilla FTP Client\fzsftp.exe C:\programdata\ssh\cloudflared.exe C:\ProgramData\OpenSSHa.msi C:\Program Files\OpenSSH\sshd.exe C:\ProgramData\1.bat C:\ProgramData\2.bat ASN/CIDR infraštruktúra útočníka: AS24863 – LINK-NET – 45.242.96.0/22 AS62240 – Clouvider – 45.86.208.0/22 AS62240 – Clouvider – 77.247.126.0/24 AS23470 – ReliableSite LLC – 104.238.204.0/22 AS23470 – ReliableSite LLC – 104.238.220.0/22 AS62240 – Clouvider – 193.163.194.0/24 AS174 – COGENT-174 – 181.215.182.0/24 AS62240 – Clouvider – 193.239.236.0/23 AS62240 – Clouvider – 194.33.45.0/24 Používateľ vytvorený útočníkom: lockadmin backupSQL Password123$ Heslo použité útočníkom: Msnc?42da VRT83g$%ce |
| Zasiahnuté systémy |
| SonicWall SSL VPN vo všetkých verziách |
| Následky |
| Neoprávnený prístup do systému Narušenie dôvernosti, integrity a dostupnosti systému Infekcia systému ransomvérom |
| Odporúčania |
| Vzhľadom na vysokú pravdepodobnosť existencie zraniteľnosti typu zero-day v SonicWall SSL VPN výrobca odporúčajú predmetnú službu dočasne vypnúť tam, kde je to praktické. Ak službu nie je možné vypnúť, odporúčame aplikovať všetký best practice postupy výrobcu na zabezpečenie systémov, ako sú: – povoliť bezpečnostné služby (ako napr. Botnet Protection, Geo-IP Filtering) – povoliť monitorovanie logov pre SonicWall – aktivovať viacfaktorovú autentifikáciu – odstrániť nepoužívané účty – zaistiť pravidelné aktualizácie hesiel naprieč všetkými používateľskými účtami – limitovať VPN autentifikáciu len na dôveryhodné IP – zvážiť blokovanie CIDR rozsahov korešpondujúcich s ASN súvisiacimi s hostingom pre VPN autentifikáciu Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti a dočasne zaviesť zvýšený bezpečnostný monitoring predmetných systémov. |
« Späť na zoznam
