25,000台超のSonicWall VPNファイアウォールがCriticalな脆弱性に未対処
BleepingComputer – December 17, 2024
インターネットから誰もがアクセス可能な状態のSonicWall SSLVPNデバイス25,000台超が、深刻度「Critical」評価の脆弱性に影響を受ける状態だという。ベンダーのサポートが終了済みのSonicOS/OSXファームウェアバージョンを用いるデバイスが20,000台あったことなども併せて、Bishop Foxが報告した。
SonicWall製品といえば、今年は数々の重要な脆弱性が開示されてきた。特にSonic OSの脆弱性CVE-2024-40766については、FogおよびAkiraの両ランサムウェアグループによる悪用が報告されている。こうした背景を踏まえ、サイバーセキュリティ企業Bishop Foxは今回の分析の実施を決定。ShodanやBinaryEdgeといったインターネットスキャンツールのほか、専有のフィンガープリンティング技術を使って、調査を行ったという。
この結果、同社は公開状態のSonicWallファイアウォールを430,363件特定。ここでの「公開状態」とは、ファイアウォールの管理インターフェースまたはSSL VPNインターへースプラットフォームがインターネットからアクセスできる状態になっているということを意味する。つまり、攻撃者に脆弱性がないか、旧バージョンのファームウェア/未パッチのファームウェアが使われていないか、または誤設定がないかなどを調べられてしまう恐れがあるほか、ブルートフォース攻撃を受けるリスクもある。
インターネットに公開されているだけでも危ういが、Bishop Foxの研究者らはさらに、うち20,170台のデバイスがEoLに達したファームウェアを利用していることを発見。これらのファームウェアは、ネット上に出回る多数の公開エクスプロイトに脆弱だという。加えて、25,485台が深刻度「Critical」評価の脆弱性に脆弱で、94,018台が「High」評価の脆弱性に脆弱だという結論が導き出されている。この合計は119,503台となり、この数字は2024年1月の調査時にDoSおよびRCE攻撃に脆弱なデバイス数が178,000あったことと比較すれば若干改善していると言える。それでもなお、今回のBishop Foxの調査により、パッチ適用のスロー具合が改めて可視化される結果となった。
ランサムウェアレポート無料配布中!
ランサムウェアレポート① 『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
ランサムウェアレポート② 『リークサイト統計に見るランサムウェアグループの傾向』
さまざまなランサムウェアグループの過去3年分に及ぶリークサイトデータを弊社アナリストが分析し、ランサムウェアアクターを取り巻くエコシステムの変化を追ったレポート『リークサイト統計に見るランサムウェアグループの傾向』を、以下のバナーより無料でダウンロードいただけます。
<レポートの目次>
- 要点
- 掲載件数:全世界と日本の比較
- グループ別内訳:全世界と日本の比較
✔️特筆すべきトレンド
⚪︎ALPHV / Blackcatが後退、RansomHubが台頭
⚪︎LockBitと8Base
⚪︎Clopは減少も、2023年には急増を観測 - 業界別内訳:全世界と日本の比較