SonicWall a annoncé l’ouverture d’une enquête suite à une recrudescence d’attaques par ransomware visant ses appareils pare-feu, suscitant des inquiétudes quant à une éventuelle vulnérabilité de type zero-day exploitée activement dans ses VPN. L’entreprise collabore avec plusieurs équipes de recherche sur les menaces pour déterminer la nature de cette vulnérabilité, qu’elle soit déjà connue ou qu’il s’agisse d’un nouveau problème zero-day. En attendant, SonicWall conseille aux utilisateurs de pare-feu Gen 7 de désactiver les services VPN SSL si possible et de suivre des mesures de sécurité spécifiques, telles que la limitation de la connectivité VPN à des adresses IP de confiance, l’activation des services de sécurité, la suppression des comptes inactifs, l’application de mots de passe robustes et l’utilisation de l’authentification multi-facteurs. Malgré ces précautions, SonicWall avertit que la MFA à elle seule peut ne pas suffire à prévenir les attaques par ransomware en cours d’investigation. Les attaques, suspectées d’impliquer le ransomware Akira, ont été rapides et efficaces, même dans des environnements où la MFA est activée, ce qui suggère qu’une vulnérabilité zero-day pourrait être en jeu. Les attaquants passent rapidement des appareils compromis aux contrôleurs de domaine, volent des identifiants, désactivent les outils de sécurité et déploient des ransomwares. Cette campagne est en cours et son ampleur totale reste incertaine alors que les enquêtes se poursuivent. Cela pourrait potentiellement marquer le deuxième incident zero-day de SonicWall cette année, après un avertissement concernant un bogue critique en janvier.
SonicWall fait-il face à une nouvelle cybermenace zero-day ?
