- Akira Ransomware meledak CVE-20124-40766 untuk mengakses VPN SonicWall terlepas dari tambalan dan MFA
- Peneliti mencurigai biji OTP mencuri
- Serangan Google Links di UNC6148 SMA SMA 100 Patched Sonicwall Drike
Operator ransomware Akira masih menemukan cara untuk menyusup ke perangkat SSL SSL SSL, terlepas dari kenyataan bahwa kerentanan yang diketahui meningkat, dan para korban memiliki otentikasi multi-menghadap (MFA).
Beberapa peneliti keamanan telah mengkonfirmasi serangan yang terjadi, tetapi mereka memiliki teori yang berbeda (tetapi sedikit mirip) tentang apa yang sebenarnya terjadi.
Pada akhir Juli 2025, peneliti keamanan Arctic Wolf Labs melaporkan contoh -contoh berbahaya melalui contoh SSL VPN Sonicwall. Para peneliti kemudian berspekulasi bahwa titik-titik akhir bisa adalah untuk membawa kerentanan hari nol, tetapi kemudian dikonfirmasi bahwa penjahat Akira mengeksploitasi CVE-2014-40766, cacat kontrol akses yang tidak tepat dan terjebak pada September 2024.
Menangkap token sepanjang hari?
Selain tambalan, SonicWall juga mendesak pelanggannya untuk mengembalikan semua kredensial SSL VPN, tetapi tampaknya langkah -langkah ini tidak cukup untuk menjaga Akira di teluk.
Sekarang, Arctic Wolf mengatakan dia melihat sesi dimulai dengan sukses bahkan dengan akun 2FA yang dilindungi. Dalam sebuah laporan yang dirilis awal pekan ini, para peneliti mengatakan bahwa beberapa tantangan kata sandi unik (OTP) dikeluarkan untuk upaya akun mereka sebelum mereka memiliki login, yang menunjukkan bahwa para penyerang melakukan biji OTP atau menemukan cara lain untuk menghasilkan ubin.
“Dari perspektif ini, kredensial dapat dipanen dari perangkat yang rentan di CVE-20124-40766 dan kemudian digunakan oleh aktor ancaman, bahkan jika perangkat yang sama ini macet. Aktor ancaman kampanye ini berhasil melawan kata sandi tunggal (OTP) MFA diaktifkan.”
Pada saat yang sama, Google melaporkan bahwa biji OTP yang dicuri adalah yang paling mungkin bersalah, tetapi mereka dibuat melalui nol hari.
“Google Treat Intelligence Group (GTIG) telah mengidentifikasi kampanye dalam proses ancaman yang diduga termotivasi secara finansial yang kami pantau sebagai UNC6148, yang bertujuan untuk akses ke seri SonicWall Secure Secure Secure (SMA) sepenuhnya tambalan,” kata Google dalam laporannya. “GTIG mengevaluasi dengan keyakinan tinggi bahwa UNC6148 mengambil keuntungan dari kredensial dan benih yang unik (OTP) yang dicuri selama intrusi sebelumnya, memungkinkan mereka untuk mendapatkan kembali akses bahkan setelah organisasi telah menerapkan pembaruan keamanan.”
Melacak Komputer Bleading
