SonicWall 本週三發布緊急安全警告,該公司遭遇一系列針對性攻擊,攻擊者透過暴力破解手法成功入侵 MySonicWall 帳戶系統,竊取了大量防火牆組態備份檔案,公司呼籲所有受影響用戶立即採取防護措施。
攻擊手法與過程
根據 SonicWall 調查結果顯示,這起資安事件並非單一攻擊行為,而是攻擊者有組織地對該公司雲端備份 API 服務發動持續性暴力破解攻擊。
攻擊者採用逐一帳戶破解的策略,系統性地嘗試入侵 MySonicWall 用戶帳戶,最終成功突破防護機制,取得部分帳戶的存取權限。
一旦攻擊者成功入侵用戶帳戶後,便立即著手竊取儲存在雲端服務中的防火牆組態備份檔案。這些備份檔案包含了企業網路架構的核心資訊,成為攻擊者覬覦的重要目標。
外洩資料內容與風險
被竊取的防火牆組態檔案內容相當敏感,雖然其中的密碼資訊經過加密處理,但檔案仍包含大量可供攻擊者利用的關鍵資訊。這些外洩資料包括各項服務的登入憑證、API 權杖、網路設定參數,以及可能協助威脅行為者繞過防火牆安全機制的技術細節。
SonicWall 警告,這些組態資訊一旦落入惡意人士手中,將大幅降低攻擊者入侵企業網路的技術門檻,使原本複雜的滲透攻擊變得相對容易執行。
SonicWall 發言人向外媒表示,此次攻擊影響不到 5% 的 SonicWall 防火牆設備用戶。目前攻擊者並未將竊取的檔案公開洩露到網路上,顯示這可能是一起以竊取機密資訊為目的的針對性攻擊,而非以勒索為手段的網路犯罪行為。
緊急應變與後續處置
事件發生後,SonicWall 立即啟動緊急應變程序,迅速切斷攻擊者對系統的存取管道,並與專業資安機構及執法單位展開合作調查。公司同時發布詳細的技術指導文件,協助管理員執行全面的安全強化作業。
重要的緊急應變措施包括:從 WAN 端暫時停用或限制設備服務存取、全面重設使用者憑證與 VPN 帳戶資訊、更新所有 API 金鑰和驗證權杖,以及針對 ISP、DNS 供應商等相關第三方服務同步更新共用的密碼和金鑰資訊。
這起事件發生在 SonicWall 產品頻遭攻擊的敏感時期。今年稍早,Akira 勒索軟體集團曾大規模利用
SonicWall Gen 7 防火牆的 CVE-2024-40766 SSLVPN 重大漏洞進行攻擊,澳洲網路安全中心與資安公司 Rapid7 已證實該漏洞持續被惡意利用中。
此次雲端備份服務遭攻擊事件,再次凸顯即使是資安防護廠商本身,也可能成為網路犯罪分子的攻擊標的。資安專家建議企業應建立多層次防護機制,定期更新所有安全憑證,並持續監控網路異常活動,以降低遭受類似攻擊的風險。
本文轉載自bleepingcomputer。