SonicWall은 고객들에게 랜섬웨어 갱들이 SonicWall Gen 7 방화벽의 알려지지 않은 보안 취약점을 이용해 네트워크를 침투하는 가능성이 있으므로 SSLVPN 서비스를 비활성화하라고 경고했습니다. 이 경고는 Arctic Wolf Labs가 7월 15일 이후로 Akira 랜섬웨어 공격을 여러 차례 관찰했다고 보고한 후 나왔습니다. Arctic Wolf는 또한 SonicWall 관리자들에게 이러한 공격에서 SonicWall 제로데이 취약점이 이용되고 있을 가능성이 높으므로 SonicWall SSL VPN 서비스를 일시적으로 비활성화하라고 조언했습니다.
사이버 보안 회사 Huntress는 월요일에 Arctic Wolf의 발견을 확인하고 이 캠페인을 조사하면서 수집한 침투 표시자(IOCs)에 대한 보고서를 발표했습니다. Huntress는 "SonicWall VPN에서 발견된 가능성이 높은 제로데이 취약점이 MFA를 우회하고 랜섬웨어를 배포하는 데 적극적으로 이용되고 있습니다. Huntress는 VPN 서비스를 즉시 비활성화하거나 IP 허용 목록을 통해 접근을 엄격하게 제안할 것을 권고합니다. 우리는 위협 요소들이 초기 침투 후 몇 시간 이내에 도메인 컨트롤러로 직접 전환하는 것을 보고 있습니다." 라고 경고했습니다.
SonicWall은 이 캠페인을 인지하고 있으며, 고객들이 SSL VPN 서비스를 가능한 한 비활성화하고, SSL VPN 연결을 신뢰할 수 있는 소스 IP 주소로 제한하며, Botnet Protection과 Geo-IP Filtering과 같은 보안 서비스를 활성화하여 SSL VPN 엔드포인트를 대상으로 하는 알려진 위협 요소를 식별하고 차단하도록 권고하는 공지를 발표했습니다.
요약
- SonicWall은 랜섬웨어 갱들이 SonicWall Gen 7 방화벽의 알려지지 않은 보안 취약점을 이용해 네트워크를 침투하는 가능성이 있으므로 SSLVPN 서비스를 비활성화하라고 고객들에게 경고했다.
- Arctic Wolf Labs와 Huntress는 SonicWall의 제로데이 취약점이 랜섬웨어 공격에 이용되고 있음을 확인하고 보고했다.
- SonicWall은 고객들에게 SSL VPN 서비스를 비활성화하고, 신뢰할 수 있는 소스 IP 주소로 SSL VPN 연결을 제한하며, 보안 서비스를 활성화하여 알려진 위협 요소를 차단하도록 권고했다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.