Haavoittuvuus20/2024CVSS 9.3CVE-2024-40766 (Ulkoinen linkki)
SonicWall SSLVPN -tuotteen haavoittuvuutta CVE-2024-40766 on havaittu hyväksikäytettävän aktiivisesti kiristyshaittaohjelmahyökkäyksissä. Haavoittuvat ohjelmistot tulee päivittää viipymättä ja selvittää onko mahdollista haavoittuvuuden hyväksikäyttöä jo tapahtunut sekä estää mahdollisesti jo vaarantuneiden tunnusten hyväksikäyttö.
Haavoittuvuuden kohde
Haavoittuvuus koskee SonicWall Gen 5 ja Gen 6 palomuurilaitteita sekä Gen 7 laitteita SonicOS 7.0.1-5035 tai vanhemmalla ohjelmistoversiolla. Haavoittuvuus ei koske tavallista kotikäyttäjää.
Haavoittuvat laitteet | Haavoittuvat versiot |
SOHO (Gen 5) | 5.9.2.14-12o ja vanhemmat versiot |
Gen6 Firewalls -SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W | 6.5.4.14-109n ja vanhemmat versiot |
Gen7 Firewalls - TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700 | SonicOS build version 7.0.1-5035 ja vanhemmat versiot |
Mistä on kysymys?
SonicWall julkaisi 22.8.2024 korjaavan ohjelmistopäivityksen koodin etäsuorittamisen mahdollistavaan haavoittuvuuteen CVE-2024-40766, joka vaikuttaa useisiin SonicWall-palomuurilaitteisiin. Julkaisuhetkellä aktiivisesta hyväksikäytöstä ei ollut havaintoja, eikä haavoittuvuuden julkisesta hyväksikäyttömenetelmästä ollut tietoa. 6.9.2024 haavoittuvuustiedotetta on päivitetty lisätiedoilla, että haavoittuvuutta hyödynnetään mahdollisesti aktiivisesti hyökkäyksissä. Lisäksi tiedote laajensi haavoittuvuuden altistavan hyökkäykselle hallintayhteyksien lisäksi myös paikalliset SSLVPN-käyttäjätunnukset.
SonicOS Improper Access Control Vulnerability:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015 (Ulkoinen linkki)
Tietoturvayhtiö Arctic Wolf julkaisi 6.9.2024 raportin, jossa kerrotaan havainnoista murrettujen SonicWall SSL VPN -käyttäjien tunnuksien hyödyntämisestä sisäänpääsyvektorina Akira-kiristyshaittaohjelmahyökkäyksissä. Kaikki hyväksikäytetyt käyttäjätilit olivat olleet paikallisia eikä niille oltu otettu käyttöön monivaiheista tunnistautumista (MFA) ja lisäksi kaikki murretut laitteet olivat päivittämättömiä ja alttiita CVE-2024-40766 haavoittuvuudelle.
Arctic Wolf Observes Akira Ransomware Campaign Targeting SonicWall SSLVPN Accounts:
https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/ (Ulkoinen linkki)
Mitä voin tehdä?
Päivitä haavoittuvalla ohjelmistoversiolla olevat laitteet viipymättä uusimpaan valmistajan tarjoamaan ohjelmistoversioon.
Akira-kiristyshaittaohjelmatoimintaan liittyviä tapauksia on ollut paljon myös Suomessa, joten korjaava ohjelmistopäivitys tulee asentaa välittömästi ja sen lisäksi haavoittuvalla ohjelmistoversiolla verkossa olleet laitteet tulee tarkistaa jo tapahtuneen tietomurron varalta. Haavoittuvuuden onnistuneen hyväksikäytön merkkejä voivat olla esimerkiksi epäilyttävät kirjautumiset laitteen paikallisilla käyttäjätunnuksilla tai muut normaalista poikkeavat merkinnät pääsylokeissa.
Valmistaja suosittelee lisäksi kaikkien paikallisten SSLVPN-käyttäjien salasanojen vaihtamista SonicOS-ohjelmiston päivittämisen jälkeen, jotta mahdollisesti vaarantuneita tunnuksia ei voida hyväksikäyttää jatkossa. Ylläpitäjien tulee asettaa kaikille paikallisille käyttäjille manuaalisesti päälle "User must change password" asetus jotta salasanojen vaihto saadaan pakotettua tehtäväksi.
SonicWall GEN5:
https://www.sonicwall.com/techdocs/pdf/sonicos-5-9-admin-guide.pdf (Ulkoinen linkki)
SonicWall GEN6:
https://www.sonicwall.com/techdocs/pdf/sonicos-6-5-system-setup.pdf (Ulkoinen linkki)
Lisäksi kaikille käyttäjille tulisi ottaa käyttöön monivaiheinen tunnistautuminen (2FA TOTP) valmistajan ohjeiden mukaisesti:
https://www.sonicwall.com/support/knowledge-base/how-do-i-configure-2fa-for-ssl-vpn-with-totp/19082912332916 (Ulkoinen linkki)
Ilmoita Kyberturvallisuuskeskukselle haavoittuvuuteen liittyvistä hyväksikäyttöhavainnoista:
https://www.kyberturvallisuuskeskus.fi/fi/ilmoita (Ulkoinen linkki)