Een mogelijk zerodaylek in SonicWall VPN's wordt actief misbruikt bij ransomware-aanvallen, zo waarschuwt securitybedrijf Huntress. Om voor wat soort beveiligingslek het precies gaat is onbekend en een eventueel CVE-nummer en beveiligingsupdate zijn nog niet beschikbaar. Huntress adviseert SonicWall-klanten om de VPN-service meteen uit te schakelen.

Vorige week waarschuwde securitybedrijf Arctic Wolf al voor ransomware-aanvallen waarbij mogelijk misbruik was gemaakt van een onbekende kwetsbaarheid in SonicWall SSL VPN. Volgens onderzoekers was nog niet volledig uitgesloten dat de aanvallers via een bruteforce-, dictionary- of credential stuffing-aanval waren binnengekomen, maar wees al het beschikbare bewijs op een zerodaylek.

Huntress laat vandaag weten dat er een mogelijk zeroday in SonicWall VPN's bij de ransomware-aanvallen wordt misbruikt. "De snelheid en succes van deze aanvallen, zelfs tegen omgevingen waar MFA staat ingeschakeld, suggereert heel sterk dat een zerodaylek wordt misbruikt", aldus Huntress. Volgens het securitybedrijf weten aanvallers een uur na het compromitteren van de SonicWall VPN toegang tot de domain controllers te krijgen. Huntress zegt met zo'n twintig verschillende aanvallen bekend te zijn, waarvan de eerste op 25 juli begon.

Het securitybedrijf adviseert SonicWall VPN's meteen uit te schakelen en anders tot een lijst van vertrouwde ip-adressen te beperken. Verder wordt netwerksegmentatie aangeraden, te auditen dat service-accounts geen domain admin zijn en te controleren op Indicators of Compromise, zoals ip-adressen, bestandshashes en bestandsnamen die bij de aanvallen zijn aangetroffen.