美国网络安全和基础设施安全局(CISA)已将CVE-2024-40766(最近修复的影响SonicWall防火墙的不当访问控制漏洞)添加到其已知漏洞目录中,从而确认它正被攻击者积极利用。
虽然KEV条目没有说它在勒索软件活动中被利用,但Arctic Wolf和Rapid7都表示,有间接证据表明了这一点。
到目前为止我们所知道的
在SonicWall修订其安全建议的同一天,CVE-2024-40766正在“可能被利用”,并表示该漏洞影响了SSLVPN功能以及设备的管理访问,Arctic Wolf研究员Stefan Hostetler表示,他们观察到Akira勒索软件附属公司使用涉及SonicWall设备上SSLVPN用户帐户的初始访问向量进行攻击。
“在每种情况下,被泄露的帐户都是设备本身的本地帐户,而不是与Microsoft Active Directory等集中身份验证解决方案集成。此外,所有被入侵的帐户都禁用了MFA,受影响设备上的SonicOS固件在已知易受CVE-2024-40766影响的版本中,”他指出。
Rapid7周一表示:“截至2024年9月9日,Rapid7知道最近发生了几起事件(包括外部和Rapid7观察到的),其中SonicWall SSLVPN帐户被目标或泄露,包括被勒索软件组入侵。”
该公司表示:“像CVE-2024-40766这样的漏洞经常用于初始访问受害者环境。”尽管将CVE-2024-40766与这些事件联系起来的证据仍然是偶然的,但他们建议管理员立即通过升级到最新的SonicOS固件版本或限制防火墙管理和SSLVPN对受信任来源的访问,并尽可能禁用互联网访问来减轻利用的威胁。
SonicWall还指出:“SonicWall强烈建议使用GEN5和GEN6防火墙的客户,使用本地管理帐户的SSLVPN用户应立即更新密码,以提高安全性并防止未经授权的访问。”并建议管理员为所有SSLVPN用户启用多因素身份验证。
参考来源:helpnetsecurity
暂无评论内容