SonicWall防火墙漏洞PoC发布后遭利用

网络安全公司 Arctic Wolf 报告称，本周，针对 SonicWall 防火墙漏洞的概念验证 (PoC) 代码发布后不久，威胁行为者就开始利用该漏洞。

该漏洞的编号为 CVE-2024-53704，是由于 SonicOS 的 SSLVPN 身份验证机制问题导致的高严重性身份验证绕过漏洞。

SonicWall在 1 月初宣布，针对该漏洞和另一个身份验证绕过问题（编号为 CVE-2024-40762）的补丁已包含在 SonicOS 7.1.3-7015 和 8.0.0-8037 版本中，并表示没有证据表明这两个漏洞被利用进行攻击。

据 Arctic Wolf 称，针对 CVE-2024-53704 的恶意活动于本周开始，此前不久，Bishop Fox 发布了该漏洞的技术细节和 PoC 漏洞利用。

该网络安全公司指出： “PoC 公开后不久，Arctic Wolf 就开始在威胁形势中观察针对该漏洞的利用尝试。”

Arctic Wolf 解释说，公共 PoC 使未经身份验证的攻击者能够绕过多因素身份验证 (MFA) 保护、访问私人信息并中断 VPN 会话。

“从历史上看，威胁行为者利用防火墙和 VPN 网关上的身份验证绕过漏洞来部署勒索软件。2024 年末，Arctic Wolf 观察到 Akira 勒索软件关联公司将 SonicWall 设备上的 SSL VPN 用户账户作为初始访问媒介，”该安全公司指出。

据福克斯主教称，截至 2 月 7 日，大约有 4,500 台面向互联网的 SonicWall SSL VPN 服务器尚未针对 CVE-2024-53704 进行修补。

建议各组织尽快更新其设备，或应用SonicWall 公告中描述的缓解措施，该公告已更新以警告公共 PoC。

SonicWall 指出：“SonicOS SSLVPN 身份验证绕过漏洞 (CVE-2024-53704) 的 PoC 现已公开。这大大增加了漏洞利用的风险。客户必须立即更新所有未打补丁的防火墙 (7.1.x 和 8.0.0)。如果无法应用固件更新，请禁用 SSLVPN。”