今年7月資安業者Arctic Wolf針對勒索軟體Akira的攻擊行動提出警告,指出駭客鎖定SonicWall防火牆而來,疑似利用SSL VPN零時差漏洞下手而得逞,後續SonicWall著手調查指出,駭客利用的資安弱點,其實是去年8月公布的CVE-2024-40766(CVSS風險值為9.3),但這樣的攻擊態勢,如今有擴大的現象。
9月10日澳洲網路安全中心(ACSC)提出警告,他們掌握CVE-2024-40766在當地遭到積極利用的情況,Akira用來對SonicWall的SSL VPN系統下手,而有機會進行未經授權的存取,並在特定情況導致防火牆當機,呼籲用戶應儘速檢查SonicWall設備的使用情況,並根據廠商的公告及指引進行調查與補救。
隔天資安業者Rapid7也發布部落格文章警告相關的攻擊態勢,表示在上個月SonicWall發布相關公告之後,他們觀察到針對SonicWall設備的入侵活動出現增加的現象,駭客存取這類設備的Virtual Office Portal網站,意圖重新設置SSL VPN用戶的動態密碼(OTP),以及多因素驗證(MFA)組態。Rapid7指出,在特定的預設配置狀態下,此入口網站可讓任何人透過網際網路直接存取,一旦使用者帳密外流,攻擊者就有機會用來配置OTP及MFA。
他們也提及此廠牌防火牆SSL VPN預設使用者群組的資安風險,並指出在部分組態配置當中,若是管理員以預設LDAP群組的組態設置SSL VPN服務,有可能允許超出合理使用範圍的存取權限。這代表未經授權的用戶,有機會在忽略AD組態的情況下使用SSL VPN服務。Rapid7推測,Akira很有可能藉由這些資安風險取得未經授權的存取管道,並從事勒索軟體活動。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
