近日,黑客利用SonicWall SonicOS防火墙设备中的一个关键安全漏洞(CVE-2024-40766)入侵受害者的网络,该漏洞影响第5代、第6代和第7代防火墙。
SonicWall于8月22日对此进行了修补,并警告称该漏洞仅影响防火墙的管理访问界面。然而,9月6日SonicWall透露,该安全漏洞还影响了防火墙的SSLVPN功能,且已被黑客用于网络攻击。SonicWall提醒客户尽快为受影响的产品打上补丁,但未透露野外利用的详细信息。
Arctic Wolf的安全研究人员认为这些攻击与Akira勒索软件背后的运营者有关联,他们试图以SonicWall设备为目标,获得对目标网络的初始访问权。
Arctic Wolf的高级威胁情报研究员Stefan Hostetler表示,在每个被攻击的实例中,账户都是设备本身的本地账户,而非与微软活动目录等集中式身份验证解决方案集成在一起,且所有被入侵账户的MFA都被禁用,受影响设备上的SonicOS固件属于已知易受CVE-2024-40766影响的版本。
同时,网络安全机构Rapid7也在最近的事件中发现了针对SonicWall SSLVPN账户的勒索软件组织,但其表示将CVE-2024-40766与这些事件联系起来的证据仍然是间接的。
Arctic Wolf和Rapid7复制了SonicWall的警告,并敦促管理员尽快升级到最新的SonicOS固件版本。
9月9日,CISA将此关键访问控制漏洞添加到其已知漏洞目录中,并命令联邦机构在9月30日之前的三周内,按照约束性操作指令(BOD) 22-01的规定,确保其网络中存在漏洞的SonicWall防火墙的安全。
SonicWall建议将防火墙管理和SSLVPN访问限制为可信来源,并尽可能禁止互联网访问,同时管理员还应为所有使用TOTP或基于电子邮件的一次性密码(OTP)的SSLVPN用户启用多因素身份验证(MFA)。
在网络间谍和勒索软件攻击中,攻击者经常以SonicWall设备和设备为目标,例如,包括HelloKitty和FiveHands在内的多个勒索软件团伙也利用SonicWall的安全漏洞初步访问了受害者的企业网络。
参考来源:
Critical SonicWall SSLVPN bug exploited in ransomware attacks (bleepingcomputer.com)