Ransomware : Akira cible les comptes VPN SonicWall

Le gang de ransomware Akira pourrait exploiter une vulnérabilité d’exécution de code à distance critique qui permet aux cybercriminels de compromettre les comptes VPN SSL SonicWall et d’accéder aux équipements de pare-feu.

Dans un bulletin de sécurité publié vendredi, Stefan Hostetler, chercheur principal en renseignements sur les menaces chez Arctic Wolf, a averti que les acteurs du ransomware Akira ciblaient les dispositifs SonicWall via des comptes VPN SSL compromis. Stefan Hostetler a déclaré que ces dispositifs étaient affectés par la vulnérabilité CVE-2024-40766, une vulnérabilité de contrôle d’accès inapproprié dans SonicOS. L’exploitation de celle-ci, qui a reçu un score CVSS de 9,3, permet aux attaquants d’accéder aux dispositifs SonicWall Gen 5 et Gen 6, ainsi qu’aux versions Gen 7 antérieures à la version 7.0.1-5035.

« Dans chaque cas, les comptes compromis étaient locaux aux dispositifs eux-mêmes, et non intégrés à une solution d’authentification centralisée telle que Microsoft Active Directory », écrit Stefan Hostetler dans le bulletin de sécurité. « De plus, l’authentification multifacteur (MFA) était désactivée pour tous les comptes compromis, et le firmware SonicOS des dispositifs affectés correspondait aux versions connues pour être affectées par la vulnérabilité CVE-2024-40766 ».

Akira est connu – comme d’autres – pour exploiter les vulnérabilités des systèmes permettant d’accéder à distance à des ressources du système d’information afin de lancer des cyberattaques. Plus tôt cette année, la CISA américaine a publié un rapport révélant que le gang avait généré environ 42 millions de dollars provenant de plus de 250 victimes, principalement en ciblant des VPN Cisco affectés par des vulnérabilités.

SonicWall a initialement révélé la vulnérabilité CVE-2024-40766 le 22 août et a conseillé aux utilisateurs de mettre à jour vers une version corrigée. Arctic Wolf a indiqué qu’au moment de la divulgation, il n’y avait pas de rapports d’exploitation active ou de démonstrateur disponible. Cependant, dans un autre bulletin publié le 27 août, Arctic Wolf a averti que les pare-feu SonicWall, largement utilisés dans les environnements d’entreprise, étaient une cible prisée des attaquants.

Désormais, Arctic Wolf a observé une activité malveillante exploitant la vulnérabilité de SonicOS deux semaines après la divulgation, car de nombreux dispositifs restent non corrigés. SonicWall a également mis à jour son avis de sécurité concernant la CVE-2024-40766 pour mentionner une « exploitation potentielle ». De plus, la CISA a ajouté cette vulnérabilité à son catalogue de vulnérabilités connues pour être exploitées, obligeant les agences fédérales à appliquer le correctif d’ici la fin du mois.