SonicWall SSLVPN haavoittuvuutta hyväksikäytetään aktiivisesti | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

SonicWall SSLVPN haavoittuvuutta hyväksikäytetään aktiivisesti

9. syyskuuta 2024 klo 15.53

SonicWall SSLVPN -tuotteen haavoittuvuutta CVE-2024-40766 on havaittu hyväksikäytettävän aktiivisesti kiristyshaittaohjelmahyökkäyksissä. Haavoittuvat ohjelmistot tulee päivittää viipymättä ja selvittää onko mahdollista haavoittuvuuden hyväksikäyttöä jo tapahtunut sekä estää mahdollisesti jo vaarantuneiden tunnusten hyväksikäyttö.

Haavoittuvuuden kohde

Haavoittuvuus koskee SonicWall Gen 5 ja Gen 6 palomuurilaitteita sekä Gen 7 laitteita SonicOS 7.0.1-5035 tai vanhemmalla ohjelmistoversiolla. Haavoittuvuus ei koske tavallista kotikäyttäjää.

Haavoittuvat laitteetHaavoittuvat versiot
SOHO (Gen 5)5.9.2.14-12o ja vanhemmat versiot
Gen6 Firewalls -SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W6.5.4.14-109n ja vanhemmat versiot
Gen7 Firewalls - TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700SonicOS build version 7.0.1-5035 ja vanhemmat versiot

Mistä on kysymys?

SonicWall julkaisi 22.8.2024 korjaavan ohjelmistopäivityksen koodin etäsuorittamisen mahdollistavaan haavoittuvuuteen CVE-2024-40766, joka vaikuttaa useisiin SonicWall-palomuurilaitteisiin. Julkaisuhetkellä aktiivisesta hyväksikäytöstä ei ollut havaintoja, eikä haavoittuvuuden julkisesta hyväksikäyttömenetelmästä ollut tietoa. 6.9.2024 haavoittuvuustiedotetta on päivitetty lisätiedoilla, että haavoittuvuutta hyödynnetään mahdollisesti aktiivisesti hyökkäyksissä. Lisäksi tiedote laajensi haavoittuvuuden altistavan hyökkäykselle hallintayhteyksien lisäksi myös paikalliset SSLVPN-käyttäjätunnukset.

SonicOS Improper Access Control Vulnerability:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015

Tietoturvayhtiö Arctic Wolf julkaisi 6.9.2024 raportin, jossa kerrotaan havainnoista murrettujen SonicWall SSL VPN -käyttäjien tunnuksien hyödyntämisestä sisäänpääsyvektorina Akira-kiristyshaittaohjelmahyökkäyksissä. Kaikki hyväksikäytetyt käyttäjätilit olivat olleet paikallisia eikä niille oltu otettu käyttöön monivaiheista tunnistautumista (MFA) ja lisäksi kaikki murretut laitteet olivat päivittämättömiä ja alttiita CVE-2024-40766 haavoittuvuudelle.

Arctic Wolf Observes Akira Ransomware Campaign Targeting SonicWall SSLVPN Accounts:
https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/

Mitä voin tehdä?

Päivitä haavoittuvalla ohjelmistoversiolla olevat laitteet viipymättä uusimpaan valmistajan tarjoamaan ohjelmistoversioon.

Akira-kiristyshaittaohjelmatoimintaan liittyviä tapauksia on ollut paljon myös Suomessa, joten korjaava ohjelmistopäivitys tulee asentaa välittömästi ja sen lisäksi haavoittuvalla ohjelmistoversiolla verkossa olleet laitteet tulee tarkistaa jo tapahtuneen tietomurron varalta. Haavoittuvuuden onnistuneen hyväksikäytön merkkejä voivat olla esimerkiksi epäilyttävät kirjautumiset laitteen paikallisilla käyttäjätunnuksilla tai muut normaalista poikkeavat merkinnät pääsylokeissa.

Valmistaja suosittelee lisäksi kaikkien paikallisten SSLVPN-käyttäjien salasanojen vaihtamista SonicOS-ohjelmiston päivittämisen jälkeen, jotta mahdollisesti vaarantuneita tunnuksia ei voida hyväksikäyttää jatkossa. Ylläpitäjien tulee asettaa kaikille paikallisille käyttäjille manuaalisesti päälle "User must change password" asetus jotta salasanojen vaihto saadaan pakotettua tehtäväksi.

SonicWall GEN5:
https://www.sonicwall.com/techdocs/pdf/sonicos-5-9-admin-guide.pdf

SonicWall GEN6:
https://www.sonicwall.com/techdocs/pdf/sonicos-6-5-system-setup.pdf

Lisäksi kaikille käyttäjille tulisi ottaa käyttöön monivaiheinen tunnistautuminen (2FA TOTP) valmistajan ohjeiden mukaisesti: 
https://www.sonicwall.com/support/knowledge-base/how-do-i-configure-2fa-for-ssl-vpn-with-totp/19082912332916

Ilmoita Kyberturvallisuuskeskukselle haavoittuvuuteen liittyvistä hyväksikäyttöhavainnoista:
https://www.kyberturvallisuuskeskus.fi/fi/ilmoita