Akira加强对SonicWall防火墙的攻击，暗示存在零日漏洞

研究人员发现，Akira勒索软件一直在针对SonicWall防火墙设备中可能存在的零日漏洞进行攻击，入侵活动激增，这是近几个月来对该网络供应商设备的一系列攻击增加的最新例证。

Arctic Wolf的研究人员观察到，该威胁组织从7月15日开始活动增加，针对SonicWall SSL VPN进行初始访问，尽管他们发现“至少在2024年10月以来就在某种程度上存在类似的恶意VPN登录”，SonicWall的高级威胁情报研究员Julian Tuin在8月1日的博客文章中写道。

“在审查的入侵事件中，在短时间内观察到多起勒索软件前入侵，每起都涉及通过SonicWall SSL VPN进行VPN访问，”他写道。具体来说，研究人员观察到初始SSL VPN账户访问和勒索软件加密之间的时间间隔很短，这与Arctic Wolf之前观察到的Akira针对SonicWall设备的活动类似。

虽然研究人员没有排除暴力破解、字典攻击或凭据填充作为入侵方法，但证据表明攻击者正在使用一个尚未披露的零日漏洞。这是因为在某些情况下，“完全打补丁的SonicWall设备在凭据轮换后仍然受到影响”，并且尽管启用了基于时间的一次性密码多因素认证（TOTP MFA），一些账户仍然被入侵，Tuin写道。

SonicWall持续遭受攻击

SonicWall路由器、VPN和其他网络安全技术已成为众多威胁行为者的热门目标，因为它们可以通过入侵这些设备获得特权，近几个月来利用这些设备的攻击活动激增。

事实上，就在上周，网络安全和基础设施安全局（CISA）将两个较旧的SonicWall漏洞CVE-2023-44221和CVE-2024-38475添加到其已知利用漏洞（KEV）目录中。这些漏洞影响一系列安全远程访问产品，并可以被远程利用以注入操作系统命令并将URL映射到文件系统位置。

在此之前，研究人员在7月中旬观察到一个与Abyss勒索软件团伙有关的威胁行为者利用零日漏洞，通过使用被盗的本地管理员凭据和先前入侵中的一次性密码种子，在完全打补丁的已终止支持的SonicWall安全移动访问（SMA）100系列设备上植入一个隐秘的新后门。而在5月，SonicWall修复了影响其统一安全访问网关设备的三个高危漏洞，其中一个已经在野外被利用。

Akira于2023年4月出现，并迅速在勒索软件排名中上升，有利用SonicWall漏洞进行初始访问的历史。去年9月，研究人员观察到该组织的勒索软件附属机构利用一个关键远程代码执行（RCE）漏洞，SonicWall大约一年前披露并随后在其第5代、第6代和一些第7代防火墙产品中修复了该漏洞。

立即采取缓解措施

由于被Akira攻击的疑似漏洞尚未确定，因此尚未修补，Arctic Wolf Labs建议防御者立即采取缓解措施以避免入侵。行动包括禁用SonicWall SSL VPN服务，直到补丁可用并部署，Tuin写道。

研究人员还建议组织实施SonicWall的防火墙安全加固最佳实践，包括确保诸如僵尸网络保护等服务处于活动状态以帮助检测已知针对SSL VPN端点的威胁行为者，并对所有远程访问强制执行MFA以降低凭据滥用的风险。

SonicWall的建议还包括删除任何非活动或未使用的本地防火墙用户账户——特别是那些具有SSL VPN访问权限的账户——并实践强密码卫生，以及通过阻止相应的CIDR（无类别域间路由）范围来阻止来自托管相关ASN的VPN认证。