CISA 确认 SonicWall 漏洞正在被利用 (CVE-2024-40766)

阅读量46708

发布时间 : 2024-09-11 14:31:39

x
译文声明

本文是翻译文章,文章原作者 Zeljka Zorz

原文地址:https://www.helpnetsecurity.com/2024/09/10/cve-2024-40766-exploited/

译文仅供参考,具体内容表达以及含义原文为准。

美国网络安全和基础设施安全局 (CISA) 已将 CVE-2024-40766(最近修复的会影响 SonicWall 防火墙的不当访问控制漏洞)添加到其已知利用漏洞目录中,从而确认它正在被攻击者积极利用。

CVE-2024-40766 已被利用

尽管 KEV 条目并未说明它被用于勒索软件活动,但 Arctic Wolf 和 Rapid7 都表示有间接证据表明这一点。

我们目前所知道的

在 SonicWall 修改其安全公告以表示 CVE-2024-40766“可能被在野外利用”并表示该漏洞影响 SSLVPN 功能以及设备的管理访问的同一天,Arctic Wolf 研究员 Stefan Hostetler 分享说,他们观察到 Akira 勒索软件附属公司使用初始访问向量进行攻击,涉及 SonicWall 设备上的 SSLVPN 用户帐户泄露。

“在每种情况下,被盗用的帐户都是设备本身的本地帐户,而不是与 Microsoft Active Directory 等集中式身份验证解决方案集成。此外,所有受感染的帐户都禁用了 MFA,受影响设备上的 SonicOS 固件位于已知易受 CVE-2024-40766 攻击的版本中,“他指出。

Rapid7 周一插话说:“截至 2024 年 9 月 9 日,Rapid7 了解到最近的几起事件(包括外部和 Rapid7 观察到的),其中 SonicWall SSLVPN 帐户成为目标或遭到入侵,包括勒索软件团伙。

“像 CVE-2024-40766 这样的漏洞经常用于对受害者环境的初始访问,”该公司表示,尽管将 CVE-2024-40766 与这些事件联系起来的证据仍然是间接的,但他们建议管理员立即通过升级到最新的 SonicOS 固件版本或限制防火墙管理和 SSLVPN 访问可信来源来减轻漏洞利用的威胁,并尽可能禁用互联网访问。

“SonicWall 强烈建议将 GEN5 和 GEN6 防火墙与拥有本地管理帐户的 SSLVPN 用户一起使用的客户立即更新其密码,以增强安全性并防止未经授权的访问,”SonicWall 还指出,并建议管理员为所有 SSLVPN 用户启用多因素身份验证。

本文翻译自 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66