SonicWall 发布紧急补丁,修复因修复失败而导致 SSL-VPN 基础设施面临攻击的漏洞
TL;DR
SonicWall 紧急修复关键 SSL-VPN 漏洞,此前修复方案失效
SonicWall 再次陷入舆论中心。这家安全公司刚刚针对其 Gen 7 防火墙发布了紧急公告,确认威胁行为者正在积极渗透其 SSL-VPN 基础设施。
需要明确的是:这并非什么全新的零日漏洞噩梦,而是 CVE-2024-40766 漏洞引发的连锁反应。该漏洞虽已存在一段时间,但仍被攻击者利用来获取系统控制权,并顺理成章地部署勒索软件。
问题的根源在于“迁移遗留问题”。当企业将老旧的 Gen 6 硬件更换为较新的 Gen 7 设备时,许多管理员只是简单地迁移了旧的本地用户密码。他们没有重置密码,也没有进行审计,只是直接搬迁。现在,这些陈旧且脆弱的凭据正被轻易地暴力破解。加拿大网络安全中心(Canadian Centre for Cyber Security)已发出警告,攻击者正利用这些窃取的凭据绕过双重身份验证(MFA),潜入企业网络并释放 Akira 勒索软件变体。
影响范围:数量虽少,后果严重
SonicWall 声称目前仅发现不到 40 起确认的入侵事件。但不要因此产生虚假的安全感。虽然受影响范围较小,但造成的破坏是灾难性的,涉及全面的勒索软件部署。
技术分析简单而残酷:攻击者正在搜寻从旧系统迁移过来的本地账户。如果这些密码不符合现代复杂性标准,或者曾出现在过往的数据泄露中,它们基本上就是敞开的大门。一旦攻击者进入,他们不仅是在浏览,还在绕过 MFA 控制以建立持久化访问。
如何加固防线
如果您正在使用 Gen 7 硬件,现在是时候停止阅读并立即开始打补丁了。SonicWall 发布的 SonicOS 7.3 是首要防线,专门用于阻止这些暴力破解手段。
以下是您的紧急待办事项清单:
- 更新固件: 立即将所有设备升级至 SonicOS 7.3。不要等到周末。
- 清除旧密码: 强制重置所有本地用户账户的密码。如果密码源自 Gen 6 设备,请将其视为已泄露。
- 强制执行 MFA: 如果您尚未对 SSL-VPN 访问点强制执行 MFA,实际上就等于敞开了大门。
- 过滤流量: 使用 僵尸网络过滤 和 地理位置 IP 过滤 来阻止来自与您的 VPN 无关的地区或来源的流量。
加强身份验证链
安全性取决于最薄弱的环节,而目前最薄弱的就是您的身份验证链。SonicWall 已发布关于 配置 SSL-VPN 的 TOTP 双重身份验证 的指南,这是抵御凭据填充攻击不可或缺的防御层。此外,SonicOS 7.3 中新增的 登录尝试锁定和密码复杂性要求 旨在让自动化猜测工具碰壁。
| 缓解类别 | 所需操作 |
|---|---|
| 固件 | 更新至 SonicOS 7.3 |
| 凭据 | 重置所有本地用户密码 |
| 身份验证 | 对 SSL-VPN 强制执行 MFA |
| 网络安全 | 启用地理位置 IP 和僵尸网络过滤 |
“迁移陷阱”
整个事件凸显了标准硬件更新周期中的一个明显盲点。当 IT 团队从一代硬件迁移到下一代时,首要任务往往是“保持运行”。正常运行时间至关重要,但在追求连续性的过程中,安全性往往被搁置一旁。管理员保留了旧的设置,认为既然硬件是新的,安全状况就会自动升级。
这种假设正是攻击者所利用的。他们知道哪些组织最近进行了升级,也知道这些组织很可能携带了从未打算在迁移后继续使用的弱势遗留凭据。
展望未来,任何硬件迁移之后都必须进行严格的本地用户账户审计。如果您没有将重置密码和重新验证 MFA 作为“上线”清单的一部分,那么您只是将漏洞迁移到了一个昂贵的新设备中。
保持警惕。检查日志中是否有异常的身份验证峰值,修补系统,并停止信任数据库中存放多年的“遗留”凭据。威胁环境不会关心您的正常运行时间,它只关心您的弱点。
