Los investigadores advierten sobre compromisos generalizados de los dispositivos SSLVPN de SonicWall, ya que los piratas informáticos ataques lanzados aparentemente armado con credenciales reales en lugar de utilizar técnicas de fuerza bruta, según una publicación de blog del viernes de Cazadora.
«Parece que tienen credenciales válidas», dijo a Cybersecurity Dive Jamie Levy, director de tácticas adversas de Huntress. «La velocidad a la que inician sesión directamente en varias cuentas sin ningún intento previo de fuerza bruta muestra que tienen credenciales válidas o que han descubierto otra forma de iniciar sesión».
La ola de ataques comenzó el 4 de octubre y coincidió con una actualización separada de SonicWall sobre los compromisos generalizados del servicio de respaldo en la nube MySonicWall de la compañía.
Más de 100 cuentas SSLVPN de SonicWall se han visto comprometidas en 16 entornos de clientes en los ataques señalados por Huntress. No está claro si existen conexiones entre los ataques SSLVN y los compromisos de MySonicWall.
En ciertos casos, los piratas informáticos se desconectaron rápidamente de las respectivas redes, mientras que en otros casos, los atacantes realizaron escaneos e intentaron acceder a cuentas locales de Windows, según los investigadores.
Los ataques guardan cierto parecido con los denunciados en agosto. Los investigadores habían estado investigando un Serie de ataques dirigidos a firewalls Gen 7 que estaban vinculados al ransomware Akira.
Los investigadores también expresaron su preocupación sobre el uso de una posible vulnerabilidad de día cero, pero SonicWall investigó las afirmaciones y dijo que los ataques involucraban un Vulnerabilidad de control de acceso inadecuado previamente revelada.
SonicWall dijo que muchos de los ataques de agosto se produjeron debido a que los clientes utilizaron contraseñas locales obsoletas después de actualizar a los firewalls de próxima generación. En ese momento, SonicWall instó a los clientes a rotar las credenciales de sus cuentas locales y LDAP.
A pesar de esas garantías de SonicWall, los investigadores expresaron su preocupación sobre cómo la nueva serie de ataques parecía estar ocurriendo simultáneamente.
Los investigadores de Huntress informaron a SonicWall sobre sus hallazgos, pero aún no habían recibido respuesta hasta el lunes. Un portavoz de SonicWall no respondió a las solicitudes de comentarios de Cybersecurity Dive
Fuente