For English, see below.
Beschrijving
SonicWall heeft aangegeven dat er recent een toename is te zien in incidenten gericht op SonicWall Gen 7 firewalls, specifiek op devices waarop de SSL VPN-functionaliteit is ingeschakeld. Op dit moment is nog onduidelijk of er bij de aanvallen misbruik is gemaakt van een nieuwe kwetsbaarheid of reeds bestaande kwetsbaarheid, of dat de aanvallers toegang hebben verkregen via gelekte inloggegevens. Publieke meldingen over recent misbruik lijken erop te duiden dat aanvallers zich ook toegang weten te verschaffen tot SonicWall firewalls die voorzien zijn van de laatste updates en waarop alle gebruikersaccounts voorzien zijn van MFA.
Het lijkt erop dat de recente incidenten met name verband houden met de Akira ransomwaregroep. Na initiële compromittatie van een SSL VPN-verbinding, zoeken de actoren achter deze ransomware binnen korte tijd naar mogelijkheden tot het verkrijgen van verhoogde rechten in het netwerk om vervolgens de ransomware te activeren.
Kwetsbare versies
De aanvallen richten zich op SonicWall Gen 7 firewalls met SSL VPN-functionaliteit. Aangezien op dit moment nog onduidelijk is welke kwetsbaarheid de aanvallers uitbuiten (en óf de aanvallers een kwetsbaarheid uitbuiten), is ook nog onduidelijk welke versies van deze firewalls kwetsbaar zijn.
Oplossingen en tijdelijke mitigaties
Aangezien nog onbekend is hoe de aanvallers hun aanvallen succesvol uitvoeren, is er op dit moment ook nog geen oplossing voorhanden om misbruik te voorkomen.
SonicWall raadt organisaties een aantal workarounds aan om te voorkomen dat aanvallen succesvol zijn:
- Schakel de SSL VPN-functionaliteit tijdelijk uit indien niet strikt noodzakelijk.
- Beperk de toegang tot SSL VPN tot alleen vertrouwde IP-adressen.
- Schakel security services als ‘Botnet protection’ en ‘Geo-IP filtering’ in.
- Activeer multi-factor authenticatie (MFA) op alle accounts.
- Verwijder inactieve en ongebruikte lokale accounts.
- Update regelmatig de wachtwoorden van accounts.
Detectie van mogelijk misbruik
Voor de initiële toegang breken de aanvallers in op de SSL VPN-service. Succesvolle inlogactiviteiten op de SSL VPN-service vanaf onbekende IP-adressen, vormen dan ook een indicatie van mogelijk misbruik. Dit is zeker het geval indien de inlogactiviteiten plaatsvinden vanaf een IP-adres waarvan bekend is dat deze in de aanvallen is ingezet. Zie voor een overzicht hiervan de afzonderlijke artikelen over deze aanvallen vanuit Huntress, Arctic Wolf en Field Effect.
In de bekende aanvallen maken de aanvallers – na initieel toegang te hebben verkregen – veelal misbruik van bekende technieken zoals het aanmaken van nieuwe accounts en het toekennen van “Domain Admin” rechten aan accounts. Bestaande detectieregels kunnen daarom helpen om eventuele vervolgacties na de initiële compromittatie te herkennen.
Meer informatie
Vragen
Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.
===== ENGLISH =====
Description
SonicWall has indicated that there has been a recent increase in incidents targeting SonicWall Gen 7 firewalls, specifically on devices where the SSL VPN functionality is enabled. At this time, it is still unclear whether the attacks exploited a new vulnerability or an existing one, or whether the attackers obtained access through leaked credentials. Public reports on recent abuse suggest that attackers are also able to access SonicWall firewalls that are equipped with the latest updates and where all user accounts are protected by MFA.
It appears that the recent incidents are mainly related to the Akira ransomware group. After initially compromising an SSL VPN connection, the actors behind this ransomware quickly look for opportunities to gain elevated rights in the network and then activate the ransomware.
Vulnerable versions
The attacks target SonicWall Gen 7 firewalls with SSL VPN functionality. Since it is currently unclear which vulnerability the attackers are exploiting (and whether the attackers are exploiting a vulnerability), it is also unclear which versions of these firewalls are vulnerable.
Solutions and workarounds
Since it is still unknown how the attackers successfully carry out their attacks, there is currently no solution available to prevent misuse.
SonicWall advises organizations on several workarounds to prevent successful attacks:
- Temporarily disable SSL VPN functionality if not strictly necessary.
- Limit access to SSL VPN to trusted IP addresses only.
- Enable security services like ‘Botnet protection’ and ‘Geo-IP filtering’.
- Activate multi-factor authentication (MFA) on all accounts.
- Remove inactive and unused local accounts.
- Regularly update account passwords.
Detection of possible misuse
For the initial access, the attackers break into the SSL VPN service. Successful login activities on the SSL VPN service from unknown IP addresses, therefore, indicate possible misuse. This is certainly the case if the login activities occur from an IP address known to have been deployed in the attacks. For an overview of this, see the separate articles on these attacks from Huntress, Arctic Wolf, and Field Effect.
In the known attacks, after initially gaining access, the attackers often exploit known techniques such as creating new accounts and assigning “Domain Admin” rights to accounts. Existing detection rules can therefore help to recognize any subsequent actions after the initial compromise.
More information
Questions
For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl. |
