此篇文章討論了資安業者Arctic Wolf對於勒索軟體Akira利用SonicWall防火牆入侵的警告。文章詳細描述了7月下旬,Akira勒索軟體攻擊SonicWall防火牆的活動增加,駭客可能利用零時差漏洞進行攻擊,並建議用戶在修補程式尚未推出之前,暫時停用SSL VPN服務來防範風險。
根據Arctic Wolf的分析,這波攻擊顯示出一個共同的入侵方式——駭客透過SonicWall防火牆的SSL VPN系統進行存取。Arctic Wolf指出,雖然受害組織已經安裝所有可用的修補程式並且進行了帳號密碼的輪替,但仍未能完全防止入侵。部分受害組織即使啟用了動態密碼系統(TOTP)並設置了多因素驗證(MFA),仍然遭到帳號被入侵的情況。這使得Arctic Wolf推測,駭客可能利用了未修補的零時差漏洞來發動攻擊。
這波攻擊行動從7月15日開始,攻擊者一旦獲得SSL VPN帳號的存取權限,會迅速啟動勒索軟體進行檔案加密。Arctic Wolf進一步指出,駭客的登入方式異於正常的使用者登入,他們大多數通過虛擬專用伺服器(VPS)進行,而不是通過常見的網際網路服務供應商(ISP)。這並非Akira首次針對SonicWall防火牆發動攻擊。去年10月,Akira就曾利用SonicWall防火牆的重大漏洞(SonicOS的CVE-2024-40766)發動攻擊。本文提醒企業和用戶,在未有修補程式之前,應該暫時停用SSL VPN服務來減少風險,並關注未來的修補和防範措施。
