Datenschutz & Sicherheit
Attacken auf SonicWall-Firewalls: Akira-Ransomware trotzt MFA
Im Zuge aktueller Attacken schieben Angreifer den Erpressungstrojaner Akira auf SonicWall-Firewalls. Dabei lassen sie sich nicht durch Multi-Faktor-Authentifizierung (MFA) aufhalten. Wie sie auf damit geschützte Systeme zugreifen können, ist bis jetzt nicht geklärt.
Hintergründe
Sicherheitsforscher von Artic Wolf haben ihre aktuellen Kenntnisse in einem Beitrag zusammengefasst. Die Attacken laufen schon seit August dieses Jahres und sie kochen seitdem immer wieder hoch. Ansatzpunkt ist eine „kritische“ Sicherheitslücke (CVE-2024-40766) in der SSL-VPN-Komponente, die die in einer Warnmeldung des Herstellers aufgelisteten Firewalls der Gen-5-, Gen-6- und Gen-7-Serie betrifft.
SonicWall versichert, dass die Ausgaben 5.9.2.14-13o, 6.5.2.8-2n (für SM9800, NSsp 12400, NSsp 12800), 6.5.4.15.116n (für andere Gen6-Firewall-Appliances) und 7.0.1-5035 abgesichert sind. Aber offensichtlich haben Admins die Sicherheitsupdates weiterhin nicht flächendeckend installiert, sodass Angreifer nach wie vor verwundbare Instanzen entdecken.
Aktuelle Attacken
Neben der Installation der Patches rät SonicWall dazu, Geräte außerdem mit MFA abzusichern. Zusätzlich zum Passwort benötigt man zum Einloggen noch ein One-Time-Password (OTP), das in der Regel durch eine Authenticator-App erzeugt wird. Nun führen die Sicherheitsforscher aus, dass die Angreifer Firewalls trotz aktiver MFA erfolgreich attackieren.
Zum jetzigen Zeitpunkt können sie sich nicht erklären, wie das vonstattengeht. In ihrem Bericht verweisen sie auf einen ähnlichen Vorfall, den die Google Threat Intelligence Group analysiert hat. In diesem Fall kommen sie zu dem Schluss, dass die Täter mit hoher Wahrscheinlichkeit im Besitz des Secrets sind, um selbst gültige OTPs zu erstellen.
Weil Artic Wolf eigenen Angaben zufolge keine Hinweise auf etwa Konfigurationsänderungen entdeckt hat, liegt es nahe, dass die Angreifer im aktuellen Fall sich ebenfalls auf eigene Faust gültige OTPs ausstellen. Bestätigt ist das aber bislang nicht.
Admins sollten dringend die Sicherheitsupdates installieren. Außerdem sollten sie nach verdächtigen Accounts Ausschau halten und Zugangsdaten aus Sicherheitsgründen zurücksetzen.
(des)