針對先前報導的疑似零日漏洞攻擊事件,SonicWall 經調查後正式回應,確認攻擊者利用的是已修補漏洞 CVE-2024-40766,結合企業在防火牆升級過程中的密碼管理疏失。
SonicWall 在本週發布的正式聲明中表示:「經過深入調查,我們現在高度確信近期的 SSL VPN 攻擊活動並非與零日漏洞相關,而是與 CVE-2024-40766 有顯著關聯性。」這項結論是基於對近 40 起攻擊事件的詳細分析得出。
SonicWall 指出,攻擊者實際利用的是一個於 2024 年 8 月已經揭露並修補的關鍵漏洞。
CVE-2024-40766 是 SonicOS 中的 SSL VPN 存取控制缺陷,CVSS 評分高達 9.3 分,允許攻擊者獲得未經授權的存取權限並劫持使用者工作階段。
攻擊成功的真正原因
調查顯示,絕大多數攻擊事件的根本原因在於企業在進行防火牆升級時的操作疏失。
SonicWall 發現,許多組織在從 Gen 6 升級到 Gen 7 防火牆的過程中,未能遵循官方建議重設本地使用者密碼,而是將舊有密碼直接遷移到新系統。
這種做法讓攻擊者得以利用已知的 CVE-2024-40766 漏洞,配合這些未更新的密碼進行暴力破解攻擊。由於較舊版本的 SonicOS 缺乏針對暴力破解和多重要素驗證攻擊的額外防護機制,使得此類攻擊更容易成功。
SonicWall 強調,重設密碼是當初 CVE-2024-40766 修補建議中明確要求的關鍵步驟,但許多組織在實際執行時忽略了這項重要措施。
業界反應與質疑聲浪
儘管 SonicWall 提供了明確的技術解釋,部分客戶對此說法仍存疑慮。在 Reddit 等平台上,有用戶指出他們遭到入侵的帳戶在升級到 Gen 7 防火牆前根本不存在,質疑官方解釋的完整性。另有客戶聲稱 SonicWall 拒絕檢查其系統日誌,增加了外界對事件真相的猜測。
這些矛盾的證據顯示,雖然官方已提供解釋,但整起事件的複雜程度可能超出單一原因所能涵蓋的範圍。
技術防護建議更新
SonicWall 目前強烈建議客戶升級至 SonicOS 7.3.0 版本,該版本具備更強的暴力破解和多重要素驗證攻擊防護功能,包括預設啟用但需要設定的管理員使用者鎖定機制,以及需要管理員手動啟用的密碼複雜度強制執行功能。
此外,所有曾經進行過防火牆升級遷移的組織都應立即重設具有 SSL VPN 存取權限的本地使用者帳戶密碼,特別是那些在升級過程中被保留的帳戶。SonicWall 也建議移除未使用的使用者帳戶,並啟用殭屍網路防護和地理 IP 過濾功能。
威脅情勢持續發展
Huntress 研究團隊表示,截至 8 月 6 日,他們已確認至少 28 起與此攻擊活動相關的事件。儘管攻擊手法大致相似,但在具體實施細節上仍存在變化,顯示攻擊者正在持續調整其策略。
這起事件突顯了企業在進行關鍵資安設備升級時,必須嚴格遵循所有安全操作程序的重要性。即使是看似微小的操作疏失,如未重設密碼,都可能為攻擊者創造入侵機會,最終導致嚴重的資安事件。