SonicWall 發布緊急修補程式:修復 SSL-VPN 基礎設施遭利用的漏洞
TL;DR
SonicWall 緊急修補關鍵 SSL-VPN 漏洞,先前修復失敗導致風險擴大
SonicWall 再度陷入資安風暴。這家資安公司剛針對其 Gen 7 防火牆發布了緊急公告,證實威脅行為者正積極利用其 SSL-VPN 基礎設施進行攻擊。
必須釐清的是:這並非什麼全新的零日漏洞(zero-day)災難,而是 CVE-2024-40766 漏洞所引發的後續問題。該漏洞存在已久,但目前仍被駭客用來獲取系統控制權,並進而植入勒索軟體。
問題的根源在於「遷移遺留問題」。當企業將老舊的 Gen 6 硬體更換為較新的 Gen 7 設備時,許多管理員僅是將舊有的本機使用者密碼直接匯入,既未重設也未審核。如今,這些陳舊且脆弱的憑證正輕易地遭到暴力破解。加拿大網路安全中心(Canadian Centre for Cyber Security)已指出,攻擊者正利用這些竊取的憑證繞過多因素驗證(MFA),潛入企業網路並部署 Akira 勒索軟體變種。
影響範圍:案例雖少,後果嚴重
SonicWall 聲稱目前僅接獲不到 40 起確認案例。但別因此掉以輕心,雖然受害規模看似不大,但造成的損害卻是毀滅性的,因為這涉及了大規模的勒索軟體部署。
技術層面的分析簡單卻殘酷:攻擊者正鎖定從舊系統遷移過來的本機帳號。如果這些密碼不符合現代複雜度標準,或者曾出現在過去的資料外洩事件中,它們基本上就形同虛設。一旦攻擊者進入系統,他們不僅僅是瀏覽,還會繞過 MFA 控制以建立長期存取權限。
如何加強防護
如果您正在使用 Gen 7 硬體,請立即停止閱讀並開始更新。SonicWall 發布的 SonicOS 7.3 是目前主要的防禦手段,專門用於阻擋這些暴力破解攻擊。
以下是您的緊急行動清單:
- 更新韌體: 立即將所有設備更新至 SonicOS 7.3,切勿拖延至週末。
- 清除舊密碼: 強制重設所有本機使用者帳號的密碼。如果該帳號是從 Gen 6 設備遷移過來的,請視為已遭入侵。
- 強制執行 MFA: 如果您尚未對 SSL-VPN 存取點強制執行 MFA,等於是門戶大開。
- 過濾流量: 使用 殭屍網路過濾 (botnet filtering) 和 地理位置 IP 過濾 (Geo-IP filtering) 來封鎖不應存取您 VPN 的地區或來源流量。
強固驗證鏈
安全性取決於最脆弱的一環,而目前最脆弱的就是您的驗證鏈。SonicWall 已發布關於 配置 SSL-VPN 的 TOTP 雙重驗證 (2FA) 的指南,這是防禦憑證填充(credential stuffing)不可或缺的防禦層。此外,SonicOS 7.3 中新增的 登入嘗試鎖定與密碼複雜度要求 功能,旨在讓自動化猜測工具碰壁。
| 緩解類別 | 所需行動 |
|---|---|
| 韌體 | 更新至 SonicOS 7.3 |
| 憑證 | 重設所有本機使用者密碼 |
| 驗證 | 對 SSL-VPN 強制執行 MFA |
| 網路安全 | 啟用地理位置與殭屍網路過濾 |
「遷移陷阱」
此事件凸顯了標準硬體更新週期中的明顯盲點。當 IT 團隊從一代硬體遷移到下一代時,優先事項幾乎總是「維持運作」,正常運行時間(Uptime)至關重要。然而,在追求連續性的過程中,安全性往往被擱置一旁。管理員保留了舊有的設定,認為硬體更新了,安全性就會自動提升。
這種假設正是攻擊者所利用的。他們知道哪些組織剛升級,也知道這些組織很可能帶入了從未在遷移過程中處理過的脆弱遺留憑證。
展望未來,任何硬體遷移後都必須進行嚴格的本機使用者帳號審核。如果您沒有將重設密碼和重新驗證 MFA 作為「上線」檢查清單的一部分,您只是將漏洞遷移到了新的昂貴設備中。
請保持警惕。檢查您的日誌是否有異常的驗證高峰,更新您的系統,並停止信任那些在資料庫中存放多年的「遺留」憑證。威脅環境不會在意您的正常運行時間,它只在乎您的弱點。
