SonicWall afviser 0-dag i forbindelse med ransomware-angreb

I forlængelse af forlydenderne om angreb mod SonicWall-firewalls, som vi beskrev på cert.dk den 5. august, har SonicWall nu offentliggjort resultaterne af deres interne undersøgelse. Virksomheden konkluderer, at der ikke er tale om en ny 0-dagssårbarhed, som først antaget, men snarere en udnyttelse af en kendt sårbarhed – CVE-2024-40766 – kombineret med genbrug af kompromitterede legitimationsoplysninger.

Det skriver Security Week, som dermed følger op på historien fra tidligere på ugen.

Mistanke om ny sårbarhed

Flere cybersikkerhedsfirmaer, herunder Huntress, Arctic Wolf og Field Effect, rapporterede i starten af august om ransomware-angreb – primært med Akira-varianten – rettet mod SonicWall-enheder med SSL VPN aktiveret. Mistanken faldt hurtigt på en mulig 0-dag, da angrebene også ramte enheder med opdateret firmware og MFA aktiveret.

SonicWall har nu fastslået, at angrebene ikke involverer en ny sårbarhed. I stedet udnyttes CVE-2024-40766 – en fejl offentliggjort i september 2024 – hvor trusselsaktører har fået adgang til enheder via legitimationsoplysninger, der blev kompromitteret før enhederne blev opdateret.

Et særligt problem opstår ved migrering fra Gen 6 til Gen 7 og Gen 8 firewalls, hvor lokale brugerkonti og adgangskoder er blevet overført uden nulstilling. SonicWall understreger, at nulstilling af adgangskoder var en kritisk anbefaling i den oprindelige vejledning – dog viser arkiver, at denne anbefaling først blev tilføjet i januar 2025.

Angreb fortsætter trods opdateringer

Google har samtidig rapporteret om en separat kampagne, hvor trusselsaktøren UNC6148 udnytter tidligere stjålne legitimationsoplysninger til at tilgå opdaterede SonicWall SMA-enheder. Her er der observeret installation af en ny malware kaldet Overstep, som fungerer som en vedvarende bagdør og rootkit med evne til at stjæle adgangskoder, sessionstokens og MFA-seeds.