Akira ransomware exploiting critical SonicWall SSLVPN bug again

Akira Ransomware Exploite une Vulnérabilité Critique de SonicWall

Le groupe Akira exploite activement la vulnérabilité d’accès non autorisé CVE-2024-40766 sur les dispositifs SonicWall SSL VPN. Cette faille, corrigée en août dernier, permettrait aux attaquants d’accéder aux réseaux ciblés via des points d’accès SSL VPN non mis à jour.

Points Clés :

• Le groupe Akira est identifié comme utilisant cette vulnérabilité pour ses attaques de ransomware.
• La faille permet un accès non autorisé aux ressources et peut entraîner des plantages du pare-feu.
• Malgré la mise à jour de sécurité publiée l’année dernière, une réexploitation accrue est observée, potentiellement due à des mesures d’atténuation incomplètes, comme l’absence de réinitialisation des mots de passe des utilisateurs SSLVPN locaux.
• Une confusion a existé quant à une possible exploitation d’une vulnérabilité “zero-day”, mais SonicWall a confirmé la corrélation avec CVE-2024-40766.

Vulnérabilité :

• CVE-2024-40766 : Vulnérabilité critique de contrôle d’accès affectant les versions spécifiques des pare-feux SonicWall Gen 5, Gen 6 et Gen 7.

Recommandations :

• Appliquer immédiatement les mises à jour de firmware recommandées par SonicWall (version 7.3.0 ou ultérieure).
• Réinitialiser les mots de passe de tous les comptes SonicWall, en particulier pour les comptes SSLVPN gérés localement.
• Mettre en place l’authentification multifacteur (MFA) pour tous les utilisateurs.
• Atténuer le risque lié aux groupes par défaut SSLVPN.
• Restreindre l’accès au portail “Virtual Office” aux réseaux de confiance ou internes.

Source