Criminelen maken gebruik van met multifactorauthenticatie (MFA) beveiligde SSL VPN-accounts van SonicWall-firewalls om bij organisaties ransomware uit te rollen, zo meldt securitybedrijf Arctic Wolf. SonicWall waarschuwde vorige maand dat de ransomware-aanvallen vermoedelijk samenhangen met een kwetsbaarheid aangeduid als CVE-2024-40766, waar eind augustus vorig jaar een patch en aanvullende instructies voor verschenen.

De kwetsbaarheid is aanwezig in het SSLVPN-onderdeel van de SonicWall-firewall, dat organisaties gebruiken om medewerkers toegang tot interne netwerken en applicaties te geven. Bij de ransomware-aanvallen maken de aanvallers vermoedelijk gebruik van inloggegevens die bij een eerdere aanval zijn buitgemaakt. Zodoende kan er toegang worden verkregen, ook al zijn de firewalls in de tussentijd gepatcht. Volgens Arctic Wolf wisten de aanvallers bij de laatste ransomware-aanvallen succesvol in te loggen met SSL VPN-accounts die one-time password (OTP) als tweede factor gebruikten.

Hoe de aanvallers over het OTP konden beschikken is niet precies duidelijk. De onderzoekers merken op dat SonicWall eerder bevestigde dat versies van SonicOS voor versie 7.3, het besturingssysteem dat op de firewalls draait, mogelijk kwetsbaar is voor bruteforce-aanvallen bij het gebruik van MFA credentials. "Hoewel MFA credential-gebaseerde aanvallen moet voorkomen, kan het nog steeds onder bepaalde gevallen worden aangevallen." De onderzoekers wijzen naar onderzoek van Google waarbij SonicWall SMA 100-gateways werden aangevallen. Bij deze aanvallen werden eerder gestolen OTP seeds gebruikt voor het genereren van one-time passwords.

De onderzoekers voegen toe dat zowel lokale firewall-accountse als LDAP-gesynchroniseerde accounts het doelwit van de aanvallers zijn. Zodra er is ingelogd proberen de aanvallers zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Daarbij hebben de aanvallers het onder andere voorzien op virtual machine opslag en back-ups. "Dit geeft de aanvallen toegang tot gevoelige data, alsmede domain credentials opgeslagen in het bestandssysteem van domain controllers", aldus de onderzoekers.

Nadat de aanvallers gevoelige gegevens hebben gevonden worden die door middel van WinRAR gecompromitteerd en vervolgens via rclone of FileZilla naar een virtual private server van de aanvallers gekopieerd. Als laatste wordt de ransomware uitgerold. De onderzoekers merken op dat bij de meeste van de waargenomen aanvallen de tijd tussen de initiële toegang en het uitvoeren van de ransomware-aanval minder dan vier uur is.

Arctic Wolf merkt op dat het cruciaal is dat bij SonicWall-apparaten die kwetsbaar voor CVE-2024-40766 waren alle SSL VPN-wachtwoorden worden gereset, alsmede alle Active Directory credentials van accounts gebruikt voor SSL VPN-toegang en LDAP-synchronisatie.