美国网络安全和基础设施安全局 (CISA) 已将 CVE-2024-40766(最近修复的会影响 SonicWall 防火墙的不当访问控制漏洞)添加到其已知利用漏洞目录中,从而确认它正在被攻击者积极利用。
尽管 KEV 条目并未说明它被用于勒索软件活动,但 Arctic Wolf 和 Rapid7 都表示有间接证据表明这一点。
我们目前所知道的
在 SonicWall 修改其安全公告以表示 CVE-2024-40766“可能被在野外利用”并表示该漏洞影响 SSLVPN 功能以及设备的管理访问的同一天,Arctic Wolf 研究员 Stefan Hostetler 分享说,他们观察到 Akira 勒索软件附属公司使用初始访问向量进行攻击,涉及 SonicWall 设备上的 SSLVPN 用户帐户泄露。
“在每种情况下,被盗用的帐户都是设备本身的本地帐户,而不是与 Microsoft Active Directory 等集中式身份验证解决方案集成。此外,所有受感染的帐户都禁用了 MFA,受影响设备上的 SonicOS 固件位于已知易受 CVE-2024-40766 攻击的版本中,“他指出。
Rapid7 周一插话说:“截至 2024 年 9 月 9 日,Rapid7 了解到最近的几起事件(包括外部和 Rapid7 观察到的),其中 SonicWall SSLVPN 帐户成为目标或遭到入侵,包括勒索软件团伙。
“像 CVE-2024-40766 这样的漏洞经常用于对受害者环境的初始访问,”该公司表示,尽管将 CVE-2024-40766 与这些事件联系起来的证据仍然是间接的,但他们建议管理员立即通过升级到最新的 SonicOS 固件版本或限制防火墙管理和 SSLVPN 访问可信来源来减轻漏洞利用的威胁,并尽可能禁用互联网访问。
“SonicWall 强烈建议将 GEN5 和 GEN6 防火墙与拥有本地管理帐户的 SSLVPN 用户一起使用的客户立即更新其密码,以增强安全性并防止未经授权的访问,”SonicWall 还指出,并建议管理员为所有 SSLVPN 用户启用多因素身份验证。
发表评论
您还未登录,请先登录。
登录