SonicWall 防火墙是传播勒索软件活动的常见接入点

Arctic Wolf Labs的安全研究人员周四表示，至少有 30 家使用 SonicWall 防火墙的组织遭受了勒索软件攻击，这些防火墙运行的固件受到该供应商两个月前披露并修补的一个严重漏洞的影响。

8 月 22 日， SonicWall披露并修补了不当访问控制漏洞CVE-2024-40766，其 CVSS 评分为 9.3。Arctic Wolf Labs 表示，其在 8 月初开始观察到 Akira 和 Fog 勒索软件变种入侵，涉及 SonicWall 防火墙受影响的 SSL VPN 功能。

SonicWall 全球公共关系高级总监 Bret Fitzgerald 周四通过电子邮件表示：“自 8 月份以来，我们观察到与入侵企图一致的活动显著增加，活动高峰通常发生在非工作时间。”

受害组织可能还有很多。潜在风险延伸至尚未修补 SonicOS（安全供应商防火墙的软件）中严重漏洞的 SonicWall 客户。

Fitzgerald表示：“CVE 中描述的漏洞影响了超过 300,000 台受支持的设备，因此可能有数千个组织受到影响。”

Fitzgerald表示，大约有一半使用较新的 SonicWall Gen 7 设备的客户已经升级了他们的固件，大约 30% 运行 Gen 6.5 及更早版本的设备已经通过软件更新修补了漏洞。

Arctic Wolf Labs数字取证事件响应副总裁 Kerri Shafer-Page 周四通过电子邮件表示，与这些攻击有关的威胁团体针对的是广泛的行业和各种规模的组织。

SonicWall 补充道，它尚未发现任何表明特定类型的组织或行业成为攻击目标的模式。

攻击者在攻击过程中加密并窃取数据。据 Arctic Wolf 称，在一个案例中，人力资源和应付账款部门长达 30 个月的敏感信息被盗。在加密过程中，攻击者专注于虚拟机及其备份的存储。

据 Arctic Wolf 称，首次访问勒索软件或加密的时间间隔为 90 分钟到 10 小时。

在 Arctic Wolf 观察到的四次攻击中，有三次部署了 Akira 勒索软件，其余攻击中部署了 Fog 勒索软件。

SonicWall 表示，它不会披露客户分享的详细信息或有关针对其客户的勒索软件攻击的信息。“SonicWall 并未获悉与观察到的入侵企图活动相关的运营中断、数据泄露、勒索要求或付款。”Fitzgerald说。

Arctic Wolf 表示，尚未发现将入侵与 CVE-2024-40766 漏洞联系起来的确凿证据，但最初对受害者环境的访问涉及使用 SonicWall 安全套接字层 VPN 帐户。

Arctic Wolf Labs的研究人员表示，参与这些攻击的所有 SonicWall 设备都运行受该漏洞影响的固件版本。

安全研究人员在 9 月初首次警告勒索软件团体会危及 SonicWall 设备上的 SSL VPN 帐户，以便在勒索软件攻击中获取初始访问权限。

SonicWall 表示，自 8 月披露该漏洞以来，该公司发起了一场呼吁活动，并向合作伙伴和客户发送了多份安全公告。该公司还表示，它与事件响应公司、政府机构和执法部门共享了信息。

新闻链接：

https://www.cybersecuritydive.com/news/ransomware-sonicwall-firewalls/731036/

讲述普通人能听懂的安全故事