包括 Akira 勒索软件附属公司在内的威胁行为者已开始利用 SonicWall 上个月在其第 5 代、第 6 代和第 7 代防火墙产品的某些版本中披露并修补的一个关键远程代码执行 (RCE) 漏洞。
该攻击活动促使美国网络安全和基础设施安全局 (CISA) 将标识为 CVE-2024-40766 的漏洞添加到其已知已利用漏洞 (KEV) 数据库中。该漏洞是 CISA 本周添加到其 KEV 目录中的三个漏洞之一,并希望联邦民事行政部门 (FCEB) 机构在 9 月 30 日之前解决。
不正确的访问控制错误
CVE-2024-40766 是 SonicWall SonicOS 管理访问组件中的一个不当访问控制错误,该组件运行在公司的 SonicWall Firewall 第 5 代和第 6 代设备,以及运行 SonicOS 7.0.1-5035 及更早版本的第 7 代设备。它允许攻击者完全控制受影响的设备,并在某些情况下导致防火墙完全崩溃。
SonicWall 于 8 月 22 日首次披露了该漏洞,并为其分配了 9.3 级的严重性评级,在 CVSS 量表上可能的最高等级为 10。9 月 6 日,网络安全供应商更新了公告,将本地 SSLVPN 帐户也列为容易受到 CVE-2024-40766 攻击。该公告还警告客户注意针对该漏洞的攻击活动,并敦促组织立即应用该公司建议的缓解措施。
Artic Wolf 周五表示,它观察到 Akira 勒索软件附属公司滥用该漏洞来入侵 SonicWall 设备上的 SSLVPN 帐户。“在每种情况下,被盗用的帐户都是设备本身的本地帐户,而不是与 Microsoft Active Directory 等集中式身份验证解决方案集成,”Arctic Wolf 说。“此外,所有被盗账户的 MFA 都被禁用了。”
SonicWall 希望受影响设备的客户尽快更新到该技术的修复版本。该公司还建议组织将防火墙管理功能限制为受信任的来源,并禁用通过 Internet 的 WAN 管理。“同样,对于 SSLVPN,请确保访问仅限于受信任的来源,或禁用来自 Internet 的 SSLVPN 访问,”SonicWall 建议道。
该公司还“强烈”倡导该公司的 Gen 5 和 Gen6 防火墙的管理员确保拥有本地管理帐户的 SSLVPN 用户立即更改密码,以防止未经授权的访问。此外,SonicWall 还建议组织为所有 SSLVPN 用户启用多因素身份验证 (MFA)。
SonicWall:热门目标
SonicWall 的防火墙产品(如路由器、VPN 和其他网络安全技术)是一个有吸引力的攻击目标,因为威胁行为者可以通过破坏这些产品之一在目标网络上获得提升的权限。许多网络安全产品使攻击者能够访问流入和流出网络的所有流量,以及设备背后的宝贵资产和数据。近年来,Cisco 等安全供应商以及 CISA 和英国国家网络安全中心 (NCSC) 等实体一再警告称,攻击者将网络设备中的漏洞作为在目标设备上获得初步立足点的手段。
例如,今年早些时候,CISA 发现臭名昭著的伏特台风组织经常以 Fortinet、Ivanti、NetGear、Cisco 和 Citrix 等供应商的网络设备为目标,以获得初始访问权限。 思科在 2023 年的一份报告中表示,它观察到世界各地国家资助的行为者和情报机构持续存在恶意活动,包括流量操纵和复制、基础设施侦察以及积极尝试削弱网络防御 。该公司评估认为,攻击者喜欢以路由器和交换机等网络技术为目标,因为它们可以在受害者网络上实现深度可见性,而且组织通常无法正确保护和修补设备。
由于担心政府更容易受到此类攻击,CISA 于 6 月下旬发布了一项具有约束力的操作指令,要求 FCEB 机构实施强有力的措施来保护特定网络设备的管理接口,例如防火墙、路由器、交换机、VPN 集中器、负载均衡器和代理。
发表评论
您还未登录,请先登录。
登录