攻击概况

攻击者正在针对SonicWall防火墙展开攻击，传播Akira勒索软件。值得注意的是，这些攻击甚至能够成功突破已启用多因素认证的系统。目前攻击者如何访问这些受保护系统的具体方式尚不明确。

技术细节

漏洞利用

Artic Wolf的安全研究人员汇总了相关发现。攻击自今年8月开始持续活跃，利用的是SSL-VPN组件中的一个"关键"安全漏洞（CVE-2024-40766）。该漏洞影响Gen-5、Gen-6和Gen-7系列的防火墙设备。

补丁状态

SonicWall确认以下版本已修复该漏洞：

• 5.9.2.14-13o
• 6.5.2.8-2n（适用于SM9800、NSsp 12400、NSsp 12800）
• 6.5.4.15.116n（适用于其他Gen6防火墙设备）
• 7.0.1-5035

然而，显然管理员仍未全面安装这些安全更新，导致攻击者仍能发现易受攻击的实例。

MFA绕过机制

当前困境

除了安装补丁外，SonicWall还建议使用MFA保护设备。登录时除了密码外，还需要通常由认证应用程序生成的一次性密码。但安全研究人员发现，攻击者能够成功攻击已启用MFA的防火墙。

可能的技术手段

研究人员目前无法解释这一现象。他们在报告中提到了Google威胁情报小组分析的类似事件，认为攻击者很可能掌握了生成有效OTP的秘密密钥。由于Artic Wolf未发现配置更改的迹象，推测在当前案例中攻击者可能也在自行生成有效的OTP，但这尚未得到确认。

防护建议

管理员应紧急安装安全更新，同时检查可疑账户，并出于安全考虑重置访问凭证。