패치되지 않은 EOL SonicWall SMA 100 VPN, 랜섬웨어 공격에 취약해

 

 

Ransomware Attacks Targeting Unpatched EOL SonicWall SMA 100 VPN Appliances

 

SonicWall이 고객에게 랜섬웨어 캠페인이 패치되지 않은 8.x 펌웨어를 실행하는 SMA(Secure Mobile Access) 100 시리즈와 SRA(Secure Remote Access) 제품을 노릴 것이라 경고했습니다.

 

이는 SonicWall SRA 4600 VPN 어플라이언스 내 원격 액세스 취약점인 CVE-2019-7481이 전 세계의 기업 네트워크를 해킹하기 위한 초기 벡터로써 악용되고 있다고 보고된 지 약 한 달 만입니다.

 

“SonicWall은 훔친 자격 증명을 사용하는 한 랜섬웨어 캠페인에서 패치되지 않은 단종된 8.x 펌웨어를 실행하는 SMA(Secure Mobile Access) 100 시리즈와 SRA(Secure Remote Access) 제품을 적극적으로 공격 중인 것을 확인했습니다. 이 공격은 최신 버전의 펌웨어에서는 이미 패치된 알려진 취약점을 사용합니다.”

 

SonicWall은 SMA 1000 시리즈 제품은 이 취약점에 영향을 받지 않는다고 언급하며, 이에 취약한 제품을 사용 중일 경우 펌웨어를 업데이트하거나, 다중 인증 기능을 활성화하거나, 9.x 펌웨어로 업데이트 할 수 없거나 단종된 어플라이언스의 연결을 끊는 등 조치를 취할 것을 권고했습니다.

 

“8.x 펌웨어를 사용하는 단종된 기기는 임시 완화 조치를 받을 수 없습니다. 이 펌웨어를 사용하거나, 단종된 기기를 사용하는 것은 보안에 심각한 위험을 초래합니다.”

 

회사는 고객에 임시 조치로 SMA나 SRA와 관련된 모든 비밀번호와 동일한 자격 증명을 사용하는 다른 기기나 시스템의 비밀번호까지 모두 재설정할 것을 권장했습니다.

 

이는 SonicWall 기기가 수익성 있는 공격의 벡터로 사용된 4번째 사례입니다. 공격자는 이전에 공개되지 않았던 취약점을 악용해 악성코드를 드롭하고 타깃 네트워크에 더 깊게 파고들 수 있었습니다.

 

지난 4월, FireEye Mandiant는 해킹 그룹인 UNC2447이 SonicWall VPN 어플라이언스의 제로데이 취약점(CVE-2021-20016)을 악용해 북미 및 유럽 조직의 네트워크에 새로운 랜섬웨어 변종인 FIVEHANDS를 배포했다고 밝혔습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/07/ransomware-attacks-targeting-unpatched.html

https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/