Sió-Informatika Rendszerház

HÍREK

FIGYELEM: SonicWall célzott támadás alatt – minden tűzfal-backup kompromittálódott

SonicWall SSL VPN támadás

A Huntress súlyos riasztást adott ki a SonicWall SSL VPN berendezések széles körű kompromittálásáról.

A fenyegető szereplők érvényes hitelesítő adatokkal (és nem brute-force módszerrel) lépnek be, majd gyors egymásutánban több fiókot is érintenek ugyanabban a környezetben.

Október 10-ig a Huntress több ügyfélkörnyezetben is kiterjedt kompromittálást figyelt meg. A támadók egymás után, gyorsan hitelesítenek több fiókba a fertőzött eszközökön.” — áll a közleményben.

Olvasd el a teljes tanácsot ITT.

A támadások mértéke és taktikái

  • Okt. 4. óta 16 ügyfélnél 100+ SonicWall SSL VPN fiók sérült – mindegyiknél valódi jelszavakat használtak.
  • Több esetben a belépések 202.155.8[.]73 (vagy kapcsolódó) IP-ről érkeztek.
  • Egyes támadók azonnal bontottak (felderítés), mások poszt-exploitatív lépésekbe kezdtek: belső hálózati szkennelés, Windows-fiókpróbálgatás, laterális mozgás.
  • Bár több sikeres belépés MFA mellett történt, a SonicWall szerint nem egy új zero-day áll a háttérben, hanem főként jelszó-újrahasználat és ismert hiba kihasználása.

Fő okok: jelszó-újrahasználat, örökölt fiókok és CVE-2024-40766

A fókusz a CVE-2024-40766 hibára terelődött (SonicWall SSL VPN, különösen Gen6→Gen7 migrációt követően). A hiba hozzáférés-vezérlési probléma (CVSS 9.3 – kritikus).

  • Migráció után helyben tárolt felhasználók változatlan jelszavakkal maradhattak életben.
  • A hiba bizonyos körülmények között védett erőforrásokhoz enged hozzáférést, sőt terhelés alatt tűzfal-összeomlást is okozhat.
  • A SonicWall „magas biztonsággal” állítja: a mostani hullám nem új zero-day, hanem CVE-2024-40766 + hitelesítő adatok visszaélése kombinációja.
  • Biztonsági cégek ugyanakkor felvetik: lehet MFA magok (OTP seed) kiszivárgása, alapértelmezett csoportok félrekonfigurálása vagy más módszer is a képletben.

Új vektorok és tipikus félrekonfigurálások

  • Alap LDAP csoport-hozzárendelés: bizonyos beállításoknál minden LDAP-hitelesített felhasználó helyi csoporttagságot kap (SSL VPN/admin jog). Ezt a támadók jogemelésre használják.
  • Virtual Office (SSL VPN portál) hibás beállítások: részben feltört fióknál a támadó MFA-t letilthat vagy TOTP-kötést módosíthat.
  • OTP seed lopás / MFA megkerülés: egyes TOTP-val védett fiókok mégis sérültek – utalhat seed-szivárgásra vagy portálon végzett újrakötésre.
  • Vannak jelentések naprakész firmware és jelszócsere mellett is bekövetkező kompromittálásról – emiatt merült fel ismeretlen hiba lehetősége is.

Felhő-backup incidens: minden MySonicWall felhasználó érintett

A SonicWall megerősítette: a MySonicWall felhő-backup szolgáltatás minden felhasználója érintett, szemben a korábbi „<5%” kommunikációval.
Az érintett tűzfal-konfigurációk és backupok tartalmazhatnak:

  • hálózati szabályokat, hozzáférési politikákat, VPN-beállításokat,
  • szolgáltatás-hitelesítőket (LDAP, RADIUS, SNMP),
  • sőt admin hitelesítőket is, ha a konfigurációban tárolták őket.

Bár a fájlok titkosítottak, a támadók a kinyert adatokkal topológiát következtethetnek ki, gyenge hiteleket lőhetnek be, illetve célzott támadásokat indíthatnak a belső szabályok ismeretében.

SonicWall válaszlépései és teendők

A cég kezdetben minimalizálta a hatókört, majd később kiterjesztette a beismerést. Minden MySonicWall felhasználónak javasolt:

  1. Ellenőrizd, aktív-e a felhő-backup. Ha nem, a kockázat alacsonyabb.
  2. Azonosítsd a megjelölt sorozatszámokat (érintett tűzfalak).
  3. Importálj új „preference” fájlt (ez reseteli a hitelesítőket) – számolj azzal, hogy:
    • az IPsec VPN kulcsok,
    • a TOTP kötés,
    • és a felhasználói jelszavak is újraállítást igényelnek.
  4. Karbantartási ablakban végezd el (a tűzfal azonnal újraindul).
  5. Használd az új eszközlistát (prioritás szerint), és soron kívül kezeld a kritikusakat.

A SonicWall a bűnüldözéssel együtt vizsgálja az esetet és értesíti az érintetteket.

Metaszint: Akira zsarolóvírus-kampány és kapcsolódások

2025 közepe óta az Akira jelentősen növelte aktivitását, elsődleges belépési pontként gyakran SonicWall SSL VPN-t használva.

  • Augusztusban a Darktrace egy amerikai szervezetnél mutatta ki a kompromittált SonicWall-ról induló szkennelést, laterális mozgást, jogosultságemelést és exfiltrációt.
  • Sok esetben a készülék patched volt, viszont a régi helyi jelszavakat nem forgatták – a támadók ezeket használták.
  • Az Akira mostanra kombinálja a technikákat:
    • CVE-2024-40766 kihasználása,
    • Default Users/Groups félrekonfigurálás,
    • Virtual Office MFA manipuláció,
    • Kiszivárgott hitelek / OTP seed újrafelhasználása.

Keresztágazati kockázat

A SonicWall készülékek elterjedtek vállalatoknál, KKV-knál, közintézményeknél, egészségügyben és oktatásban is.
Akik távoli hozzáférést (SSL VPN) használnak, és késlekedtek a foltozással / jelszóhigiénével, most magas kockázatnak vannak kitéve.

Azonnali védekezési javaslatok (rövid ellenőrzőlista)

Perimeter & hozzáférés

  • SSL VPN ideiglenes tiltása, ha megtehető, amíg a keményítés kész.
  • IP allow-list: csak megbízható források (irodák, ismert proxyk).
  • Geo-IP / Botnet szűrés, lockout házirendek.

Patch & konfiguráció

  • SonicOS ≥ 7.3.0 telepítése (vagy gyártói fixelt változat).
  • Minden helyi és SSL VPN jelszó azonnali rotációja (különösen migrációs örökség!).
  • MFA/TOTP újraregisztráció – seedek rotációja.
  • Inaktív/örökölt fiókok törlése.
  • Default LDAP group mapping letiltása vagy szigorítása.
  • Virtual Office szigorú hardening: MFA kényszerítése, változások auditja.

Láthatóság & reagálás

  • Részletes naplózás: belépések, MFA-resetek, konfigváltozások, oldalirányú mozgás.
  • Threat hunting: IoC-k, szokatlan fiókok, anomális login mintázatok.
  • Hálózati szegmentáció: gyors körülhatárolás az esetleges kompromittált zónákra.
  • Backup-ok integritás-ellenőrzése, visszaállítási próbák.

Tanulságok és stratégiai kitekintés

  • Patching nem elég: a legtöbb siker a jelszó-újrahasználat, az örökölt fiókok és a hibás konfigurációk miatt történt.
  • MFA fontos, de nem tévedhetetlen: seed-lopás és portál-manipuláció ellen folyamatos monitorozással és szigorú identitás-higiéniával kell védekezni.
  • Defense-in-depth: az SSL VPN egyetlen védelmi rétegként nem elegendő. Szükséges a szegmentáció, legkisebb jogosultság, és az east-west forgalom megfigyelése.
  • Konfigurációs fegyelem: az alapértelmezett hozzárendelések és nyitott portálok alááshatják a frissítések értékét.
  • Feltételezd a kompromittálhatóságot: a támadások gyorsak – gyakorold a rapid containment eljárásokat.
  • Ökoszisztéma-kitettség: a felhő-backup kompromittálása megsokszorozza a kockázatot, mert belső nézeti térképet ad a támadóknak.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!