นักวิจัยออกมาเตือนว่า ผู้ไม่หวังดีได้โจมตีบัญชี SonicWall SSL-VPN ไปแล้วมากกว่า 100 บัญชีในแคมเปญการโจมตีขนาดใหญ่ที่ใช้ข้อมูล credentials ที่ถูกขโมยมา
แม้ว่าในบางกรณีผู้โจมตีจะตัดการเชื่อมต่อออกไปหลังจากเข้ามาได้ไม่นาน แต่ในกรณีอื่น ๆ พวกเขาได้ทำการสแกนเครือข่าย และพยายามเข้าถึงบัญชี Windows บนเครื่องภายในเครือข่ายนั้นต่อ
การโจมตีส่วนใหญ่เริ่มขึ้นเมื่อวันที่ 4 ตุลาคมที่ผ่านมา ตามที่ managed cybersecurity platform ของ Huntress ได้ตรวจพบใน environments ของลูกค้าหลายราย
นักวิจัยระบุว่า “ผู้ไม่หวังดีกำลังล็อกอินเข้าสู่ระบบหลายบัญชีอย่างรวดเร็วจากอุปกรณ์ต่าง ๆ ที่ถูกโจมตี ทั้งความเร็ว และขนาดของการโจมตีเหล่านี้แสดงให้เห็นว่า ผู้โจมตีดูเหมือนจะมีข้อมูล credentials ที่ถูกต้องอยู่ในมือ มากกว่าที่จะเป็นการโจมตีแบบ brute-forcing"
การโจมตีดังกล่าวส่งผลกระทบต่อบัญชี SonicWall SSL-VPN มากกว่า 100 บัญชี ใน 16 environments ที่ Huntress ดูแลอยู่ แสดงให้เห็นว่าเป็นแคมเปญการโจมตีที่สำคัญ และมีขนาดใหญ่ ซึ่งยังคงดำเนินต่อเนื่องจนถึงวันที่ 10 ตุลาคมที่ผ่านมา
นักวิจัยระบุว่า ในกรณีส่วนใหญ่ requests ที่เป็นอันตรายมีต้นทางมาจาก IP address : 202.155.8[.]73
หลังจากขั้นตอนการยืนยันตัวตนสำเร็จ Huntress ได้ตรวจพบกิจกรรมที่เกี่ยวข้องกับขั้นตอนการ reconnaissance และการพยายามโจมตีต่อไปภายในระบบ (lateral movement) โดยผู้ไม่หวังดีได้พยายามเข้าถึงบัญชี Windows บนเครื่องต่าง ๆ ในเครือข่ายเป็นจำนวนมาก
Huntress ได้เน้นย้ำว่า พวกเขาไม่พบหลักฐานที่มีความเชื่อมโยงต่อเหตุการณ์การโจมตีจำนวนมากที่ตรวจพบในครั้งนี้ และเหตุการณ์ข้อมูลรั่วไหลของ SonicWall ที่เกิดขึ้นล่าสุดทำให้ configuration file ของ firewall สำหรับลูกค้าที่ใช้บริการ cloud backup ทั้งหมดรั่วไหลออกมา
เนื่องจากไฟล์เหล่านั้นมีข้อมูลที่สำคัญ จึงมีการเข้ารหัสข้อมูลในไฟล์ และข้อมูล credentials รวมถึงข้อมูล secrets ต่าง ๆ ที่อยู่ภายในก็ยังถูก encrypted อีกชั้นแยกกันด้วย AES-256 algorithm
SonicWall ได้อธิบายว่า แม้ว่าผู้โจมตีจะสามารถถอดรหัสข้อมูลไฟล์ได้ แต่พวกเขาก็จะยังคงเห็นรหัสผ่าน และคีย์ต่าง ๆ อยู่ในรูปแบบที่ถูก encrypted อยู่ดี
ตาม checklist ด้านความปลอดภัยของ SonicWall ผู้ดูแลระบบจำเป็นต้องปฏิบัติตามขั้นตอนการป้องกันดังต่อไปนี้ :
- Reset และ update รหัสผ่านของ local user และ temporary access codes ทั้งหมด
- Update รหัสผ่านบนเซิร์ฟเวอร์ LDAP, RADIUS หรือ TACACS+
- Update ข้อมูล secrets ใน policy ของ IPSec site-to-site และ GroupVPN ทั้งหมด
- Update รหัสผ่านของ WAN interfaces ประเภท L2TP/PPPoE/PPTP
- Reset WAN interfaces ประเภท L2TP/PPPoE/PPTP
Huntress ได้แนะนำมาตรการเพิ่มเติมคือ ให้จำกัด WAN management และการเข้าถึงระยะไกลในทันทีเมื่อไม่จำเป็นต้องใช้งาน และให้ปิดใช้งาน หรือจำกัดการเข้าถึง HTTP, HTTPS, SSH และ SSL VPN จนกว่าข้อมูล secrets ทั้งหมดจะถูก rotated
ควรยกเลิก API keys ภายนอก, Dynamic DNS และข้อมูล SMTP/FTP credentials ทั้งหมด รวมถึงข้อมูล secrets สำหรับระบบอัตโนมัติที่เกี่ยวข้องกับ firewall และ management systems ควรถูก invalidate ด้วย
บัญชีผู้ดูแลระบบ และบัญชีสำหรับการเข้าถึงจากระยะไกลทั้งหมด ควรเปิดใช้งาน Multi-Factor Authentication (MFA) และการนำ service กลับมาเปิดใช้งานอีกครั้งจะต้องทำทีละขั้นตอน เพื่อเฝ้าระวังกิจกรรมที่น่าสงสัยในแต่ละขั้นตอนด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.