Cyberattaques : les accès VPN SSL SonicWall ciblés par les ransomwares Fog et Akira !
Une faille de sécurité présente dans la fonction VPN SSL des firewalls SonicWall semble faire les affaires des gangs de ransomware Fog et Akira ! Il exploite la vulnérabilité pour mettre un pied dans le réseau des entreprises. Faisons le point sur cette menace.
La faille de sécurité CVE-2024-40766 (score CVSS v3 de 9.3 sur 10) présente dans le système SonicOS a été patchée par SonicWall en août 2024. Une semaine après la sortie du patch, SonicWall avait indiqué que cette vulnérabilité était exploitée par les cybercriminels. Un attaquant qui exploite cette vulnérabilité peut obtenir un accès non autorisé aux ressources. Nous en avions d'ailleurs parlé dans cet article.
Une tendance qui semble se confirmer puisqu'un nouveau rapport publié par Arctic Wolf évoque au moins 30 intrusions effectuées par l'intermédiaire d'un compte VPN SSL SonicWall et liées à la vulnérabilité CVE-2024-40766.
"Arctic Wolf a observé un afflux d'au moins 30 intrusions Akira et Fog dans divers secteurs d'activité depuis le début du mois d'août, chacune impliquant SonicWall SSL VPN au début de la chaîne d'exploitation", peut-on lire. Le ransomware Akira serait déployé dans environ 75% de ces intrusions et le ransomware Fog dans les autres cas.
Les chercheurs en sécurité ne sont pas certains que la CVE-2024-40766 ait été exploitée dans tous ces incidents. Par contre, les firewalls SonicWall compromis étaient à chaque fois vulnérables à celle-ci.
Des attaques réalisées en moins d'une demi-journée
Il est important de relever que les attaques sont réalisées dans un intervalle de temps très court, entre le moment où il y a une intrusion via l'accès VPN SSL et le moment où les données sont chiffrées.
"Le délai entre l'accès initial au VPN SSL et la réalisation des objectifs de rançon/chiffrement n'était que de 1,5 à 2 heures dans certaines intrusions, tandis que dans d'autres, l'intervalle était plus proche de 10 heures.", précise le rapport. Cela laisse peu de temps aux entreprises pour réagir.
En plus de chiffrer les données, en ciblant en priorité les serveurs virtuels et les sauvegardes, les cybercriminels ont également volé des données des entreprises compromises.
Comment se protéger ?
Pour rappel, SonicWall a publié des correctifs de sécurité pour patcher SonicOS. Voici la liste des versions concernées, pour chaque génération de firewalls, ainsi que les versions qui corrigent la CVE-2024-40766 :
- SonicWall Gen 5 sous SonicOS version 5.9.2.14-12o et versions antérieures
- Version avec le patch : SonicOS version 5.9.2.14-13o
- SonicWall Gen 6 sous SonicOS version 6.5.4.14-109n et versions antérieures
- Versions avec le patch : SonicOS 6.5.2.8-2n (pour SM9800, NSsp 12400, NSsp 12800) et SonicOS 6.5.4.15-116n (pour les autres firewalls de la Gen 6)
- SonicWall Gen 7 sous SonicOS version 7.0.1-5035 et antérieures
- Non reproductible dans les versions 7.0.1-5035 et ultérieures.
D'après le chercheur en sécurité Yutaka Sejiyama, il y aurait environ 168 000 pare-feu SonicWall toujours vulnérables à la CVE-2024-40766...
Les parefeu Watchguard aussi sont concernés, depuis quelques jours on voit des brute force en masses sur tous nos clients équipé en Watchguard
Edit : Sur les VPN SSL Watchguard, je voulais dire