Cybercriminelen maken gebruik van gehackte SonicWall SMA1000-gateways als backdoor om toegang te krijgen tot bedrijfsnetwerken. Dit blijkt uit een analyse van cybersecuritybedrijf Rapid7. SonicWall heeft recent beveiligingsupdates uitgebracht voor twee kwetsbaarheden die door aanvallers worden misbruikt, maar misbruik vond al plaats voordat de patches beschikbaar waren.
De aanvallen richten zich specifiek op de SMA1000 Secure Mobile Access-gateways, apparaten die onder meer VPN-functionaliteit en load balancing bieden om gebruikers toegang te geven tot bedrijfsnetwerken. Door de combinatie van de twee beveiligingslekken kunnen onbevoegde aanvallers de gateways op afstand volledig overnemen en als root commando's uitvoeren.
Na het verkrijgen van toegang stelen de aanvallers diverse waardevolle gegevens, waaronder credentials, actieve sessiedatabases en configuraties van TOTP-multifactorauthenticatie (MFA) seeds. Hiermee proberen zij langdurige toegang tot de gateways en de achterliggende netwerken te behouden. Uit het onderzoek blijkt dat de aanvallers zich snel lateraal door het netwerk bewegen en zonder VPN gebruik maken van Active Directory-authenticaties. De gehackte SonicWall-gateway functioneert zo als een onopgemerkte backdoor binnen de bedrijfsinfrastructuur.
Rapid7 heeft verschillende Indicators of Compromise (IoC's) vrijgegeven waarmee organisaties kunnen controleren of hun gateways zijn gecompromitteerd. SonicWall heeft eveneens informatie gedeeld en adviseert om uitgebreid forensisch onderzoek uit te voeren om de integriteit van de apparaten te waarborgen. Het is nog onbekend sinds wanneer de aanvallen plaatsvinden en hoeveel klanten getroffen zijn.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *