主要观点总结
本文讲述了近期有黑客利用SonicWall SonicOS防火墙设备中的安全漏洞CVE-2024-40766入侵受害者网络的事件。该漏洞影响了多代防火墙设备,包括第5代、第6代和第7代。SonicWall已经发布了补丁并警告用户尽快升级。此外,网络安全机构也发现了针对SonicWall SSLVPN账户的勒索软件组织。CISA已将此漏洞添加到已知漏洞目录中并要求联邦机构在9月30日前修复。同时,其他勒索软件团伙也利用SonicWall的安全漏洞进行网络攻击。
关键观点总结
关键观点1: 黑客利用SonicWall防火墙的安全漏洞CVE-2024-40766入侵受害者网络。
这个漏洞影响了多代防火墙设备,黑客可以通过这个漏洞获得对目标网络的初始访问权。
关键观点2: SonicWall已经发布了补丁并警告用户尽快升级。
公司建议限制防火墙管理和SSLVPN访问来源,并启用多因素身份验证。
关键观点3: 网络安全机构发现了针对SonicWall SSLVPN账户的勒索软件组织。
其他勒索软件团伙也利用SonicWall的安全漏洞进行网络攻击,这提醒我们要加强对网络安全的重视和防范措施。
关键观点4: CISA将这一关键访问控制漏洞添加到其已知漏洞目录中,并要求联邦机构在9月30日前修复。
这一行动凸显了网络安全的重要性和紧迫性,提醒各机构要加强网络防护。
正文
近日,有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。
这个不当访问控制漏洞被追踪为 CVE-2024-40766,影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补,并警告称其只影响防火墙的管理访问界面。
然而,SonicWall上周五(9月6日)透露,该安全漏洞还影响了防火墙的SSLVPN功能,且已被黑客用以网络攻击。该公司提醒客户尽快为受影响的产品打上补丁,但没有透露有关野外利用的详细信息。
Arctic Wolf的安全研究人员认为这些攻击与Akira勒索软件背后的运营者有所关联,他们试图以SonicWall设备为目标,获得对目标网络的初始访问权。
Arctic Wolf高级威胁情报研究员Stefan Hostetler表示:在每个实例中,被攻击的账户都是设备本身的本地账户,而不是与微软活动目录等集中式身份验证解决方案集成在一起。此外,所有被入侵账户的 MFA 都被禁用,受影响设备上的 SonicOS 固件属于已知易受 CVE-2024-40766 影响的版本。
同时,网络安全机构Rapid7也在最近的事件中发现了针对SonicWall SSLVPN账户的勒索软件组织,但其表示将CVE-2024-40766与这些事件联系起来的证据仍然是间接的。
Arctic Wolf 和 Rapid7 复制了 SonicWall 的警告,并敦促管理员尽快升级到最新的 SonicOS 固件版本。
联邦机构被勒令在 9 月 30 日前打补丁
本周一(9月9日),CISA将此关键访问控制漏洞添加到其已知漏洞目录中,并命令联邦机构在 9 月 30 日之前的三周内,按照约束性操作指令 (BOD) 22-01 的规定,确保其网络中存在漏洞的 SonicWall 防火墙的安全。
SonicWall 缓解建议将防火墙管理和 SSLVPN 访问限制为可信来源,并尽可能禁止互联网访问。管理员还应为所有使用 TOTP 或基于电子邮件的一次性密码 (OTP) 的 SSLVPN 用户启用多因素身份验证 (MFA)。
在网络间谍和勒索软件攻击中,攻击者经常以 SonicWall 设备和设备为目标。例如,包括HelloKitty和FiveHands在内的多个勒索软件团伙也利用SonicWall的安全漏洞初步访问了受害者的企业网络。
