攻击SonicWall防火墙：Akira勒索软件突破MFA防护

攻击者持续瞄准SonicWall防火墙设备，即使启用多因素身份验证（MFA）仍能成功实施攻击，目前其突破MFA防护的具体方式尚未明确。

背景分析

Artic Wolf安全研究人员在报告中汇总了最新发现：自今年8月起持续出现利用SSL-VPN组件“关键”漏洞（CVE-2024-40766）的攻击活动，受影响设备包括制造商安全公告中列出的Gen-5、Gen-6和Gen-7系列防火墙。

SonicWall确认以下版本已修复漏洞：

• 5.9.2.14-13o
• 6.5.2.8-2n（适用于SM9800、NSsp 12400、NSsp 12800）
• 6.5.4.15.116n（适用于其他Gen6防火墙设备）
• 7.0.1-5035

但显然管理员仍未全面安装安全更新，导致攻击者持续发现易受攻击实例。

当前攻击态势

除安装补丁外，SonicWall建议为设备启用MFA防护，要求登录时除密码外还需提供通常由认证应用生成的一次性密码（OTP）。然而安全研究人员指出，攻击者仍能成功入侵已启用MFA的防火墙设备。

目前研究人员尚未明确攻击原理。报告中引用了谷歌威胁情报小组分析的类似事件，该案例中攻击者极可能掌握了生成有效OTP的密钥。由于Artic Wolf未发现配置更改迹象，推测当前攻击者同样具备自主生成有效OTP的能力，但尚未获得证实。

防护建议

管理员需立即安装安全更新，同时检查可疑账户并出于安全考虑重置登录凭证。