SonicWall เร่งสืบสวนช่องโหว่ใหม่ แนะนำปิด SSLVPN บน Gen 7 Firewall ชั่วคราว

SonicWall กำลังสืบสวนช่องโหว่ความปลอดภัยใหม่ที่อาจเป็นสาเหตุของการโจมตีที่เพิ่มขึ้นใน 72 ชั่วโมงที่ผ่านมา โดยแนะนำอย่างยิ่งให้ผู้ดูแลระบบปิด SSLVPN services บน Gen 7 firewall ในกรณีที่ทำได้

SonicWall ออกคำเตือนด่วนให้ลูกค้าปิดใช้งานบริการ SSLVPN หลังจากพบว่ามีกลุ่ม ransomware หลายกลุ่มอาจกำลังใช้ประโยชน์จากช่องโหว่ความปลอดภัยที่ยังไม่เป็นที่รู้จักบน SonicWall Gen 7 firewall เพื่อเจาะเข้าระบบเครือข่ายในช่วงหลายสัปดาห์ที่ผ่านมา คำเตือนนี้มาหลังจาก Arctic Wolf Labs รายงานเมื่อวันศุกร์ว่าพบการโจมตีจาก Akira ransomware หลายครั้งตั้งแต่วันที่ 15 กรกฎาคม ซึ่งน่าจะใช้ช่องโหว่ zero-day ของ SonicWall ในการโจมตี แม้ว่าจะยังไม่สามารถยืนยันวิธีการเข้าถึงระบบแรกเริ่มได้อย่างชัดเจน แต่ความเป็นไปได้ที่มีช่องโหว่ zero-day นั้นสูงมาก อย่างไรก็ตาม ยังไม่สามารถตัดความเป็นไปได้ของการโจมตีผ่าน brute force, dictionary attacks หรือ credential stuffing ออกไปได้ในทุกกรณี

บริษัทด้านความปลอดภัย Huntress ก็ได้ยืนยันการค้นพบของ Arctic Wolf เมื่อวันจันทร์ และเผยแพร่รายงานที่มี indicators of compromise (IOCs) ที่รวบรวมได้จากการสืบสวนการโจมตีครั้งนี้ Huntress เตือนว่าช่องโหว่ zero-day ที่น่าจะมีใน SonicWall VPN กำลังถูกใช้งานเพื่อหลีกเลี่ยง MFA และติดตั้ง ransomware โดยพบว่าผู้โจมตีสามารถเข้าถึง domain controllers ได้ภายในไม่กี่ชั่วโมงหลังจากการเจาะระบบครั้งแรก ทั้ง Huntress และ Arctic Wolf แนะนำให้ปิดการใช้งาน VPN service ทันทีหรือจำกัดการเข้าถึงอย่างเข้มงวดผ่านการ allow-listing IP addresses

SonicWall ยืนยันว่าทราบถึงการโจมตีนี้และได้เผยแพร่คำแนะนำให้ลูกค้าป้องกันระบบ firewall จากการโจมตีที่กำลังดำเนินอยู่ โดยมีมาตรการดังนี้ ปิดใช้งาน SSL VPN services เมื่อเป็นไปได้, จำกัดการเชื่อมต่อ SSL VPN เฉพาะ IP addresses ที่เชื่อถือได้, เปิดใช้งานบริการความปลอดภัยเช่น Botnet Protection และ Geo-IP Filtering เพื่อระบุและบล็อกผู้โจมตีที่รู้จัก, บังคับใช้ Multi-Factor Authentication (MFA) สำหรับการเข้าถึงระยะไกลทั้งหมด และลบบัญชีผู้ใช้งานที่ไม่ได้ใช้งาน บริษัทระบุว่าในช่วง 72 ชั่วโมงที่ผ่านมา มีรายงานเหตุการณ์ด้านความปลอดภัยเพิ่มขึ้นอย่างเห็นได้ชัดทั้งจากภายในและภายนอกที่เกี่ยวข้องกับ Gen 7 SonicWall firewall ที่เปิดใช้งาน SSLVPN

ปัจจุบัน SonicWall กำลังตรวจสอบเหตุการณ์เหล่านี้ เพื่อพิจารณาว่าเกี่ยวข้องกับช่องโหว่ที่เคยเปิดเผยก่อนหน้านี้หรือเป็นช่องโหว่ใหม่ที่อาจเป็นสาเหตุ โดยขอให้ผู้ดูแลระบบใช้มาตรการป้องกันข้างต้นทันทีเพื่อลดความเสี่ยงในระหว่างที่ยังดำเนินการสืบสวนอยู่

ที่มา: https://www.bleepingcomputer.com/news/security/sonicwall-urges-admins-to-disable-sslvpn-amid-rising-attacks/