Une nouvelle vague de campagnes basées sur les informations d’identification a touché plus de 100 comptes SSLVPN dans plus d’une douzaine d’organisations.
Quelques semaines seulement après que SonicWall a révélé un incident qui a exposé les données de sa plate-forme de sauvegarde cloud MySonicWall, de nouvelles découvertes de Huntress suggèrent que la situation est loin d’être terminée – indiquant cette fois une nouvelle vague de compromissions SonicWall SSLVPN.
Selon Huntress, une nouvelle série de violations ciblant les appareils SonicWall SSLVPN est apparue début octobre, affectant au moins 16 organisations et plus de 100 comptes. Contrairement à la précédente violation côté cloud, les dernières intrusions impliquent des attaquants se connectant aux appliances VPN à l’aide d’informations d’identification valides.
« Au 10 octobre, Huntress a observé une compromission généralisée des appareils SonicWall SSLVPN dans plusieurs environnements clients », a déclaré Huntress dans un article de blog. « Les acteurs malveillants s’authentifient rapidement sur plusieurs comptes sur des appareils compromis. La vitesse et l’ampleur de ces attaques impliquent que les attaquants semblent contrôler des informations d’identification valides plutôt que de forcer brutalement. »
Alors que SonicWall avait averti que l’incident de septembre avait permis à une partie non autorisée d’accéder aux fichiers de sauvegarde de la configuration du pare-feu, y compris les informations d’identification cryptées et les données de configuration, il n’est pas clair si les informations d’identification utilisées dans Huntress ont révélé des compromissions provenaient du même incident.
Les attaquants se connectent, sans s’introduire par effraction
La divulgation de SonicWall en septembre concernait une violation de son service de sauvegarde cloud MySonicWall, impliquant un accès non autorisé aux fichiers de configuration affectant « moins de 5 % des clients ».
La nouvelle découverte de Huntress, cependant, pointe vers une campagne distincte, axée sur les informations d’identification. À partir du 4 octobre environ, Huntress a observé des connexions massives aux appareils SonicWall SSLVPN à partir d’adresses IP contrôlées par des attaquants – l’une d’elles étant notamment attribuée à 202.155.8(.)73. De nombreuses sessions de connexion étaient brèves, mais d’autres impliquaient une reconnaissance plus approfondie du réseau et des tentatives d’accès aux comptes Windows internes, suggérant des tentatives de mouvement latéral.
« Nous n’avons aucune preuve permettant de lier cet avis (de SonicWall) à la récente augmentation des compromissions que nous avons constatée », a noté Huntress, ajoutant qu' »il ne peut exister aucune preuve nous permettant de discerner cette activité de notre point de vue ».
Même si les acteurs malveillants parvenaient à décoder les fichiers compromis lors de la violation de septembre, ils verraient les informations d’identification sous forme cryptée, avait noté l’avis de SonicWall. En d’autres termes, quiconque se connecte actuellement aux appareils SonicWall n’a probablement pas obtenu ses clés de ces fichiers de sauvegarde.
Ce à quoi les défenseurs doivent faire attention
Huntress a souligné que, dans quelques cas, une authentification SSLVPN réussie était suivie d’un trafic de reconnaissance interne ou de tentatives d’accès aux comptes administratifs Windows. De plus, les connexions provenant d’une seule adresse IP publique récurrente peuvent suggérer une campagne coordonnée plutôt qu’une réutilisation aléatoire des informations d’identification.
En plus des étapes décrites dans l’avis de SonicWall, le blog de Huntress proposait des actions défensives supplémentaires pour les organisations utilisant les appareils SonicWall. Il a exhorté les administrateurs à restreindre les interfaces de gestion à distance, à réinitialiser toutes les informations d’identification et tous les secrets, à examiner les journaux SSLVPN à la recherche de signes d’authentification inhabituelles et à activer l’authentification multifacteur (MFA) dans la mesure du possible.
Les équipements SonicWall sont restés une cible récurrente pour les groupes malveillants, avec des attaques récentes abusant de pare-feu mal corrigés. Le groupe de ransomwares Akira a exploité des failles connues de contrôle d’accès (CVE-2024-40766) dans les appareils SonicWall. Plus tôt dans l’année, les clients ont également été avertis du contournement critique de l’authentification et des portes dérobées de type rootkit ciblant les appareils SonicWall.
