SonicWall SonicOS管理访问与SSLVPN漏洞可能导致未授权访问

本文详细分析了SonicWall SonicOS管理访问和SSLVPN中发现的CVE-2024-40766漏洞,该漏洞可能允许攻击者获得未授权资源访问权限,甚至导致防火墙崩溃。文章提供了受影响系统版本、威胁情报、技术细节及修复建议。

SonicWall SonicOS管理访问与SSLVPN漏洞可能导致未授权访问

MS-ISAC 咨询编号:2024-097
发布日期:2025年8月7日

概述

在SonicWall SonicOS管理访问和SSLVPN中发现了一个漏洞,可能允许未授权资源访问,并在特定条件下导致防火墙崩溃。SonicOS是SonicWall为其防火墙和其他安全设备设计的操作系统。成功利用这些漏洞中最严重的一个可能允许在系统上获得未授权访问。根据与系统相关的权限,攻击者可以查看、更改或删除数据。

威胁情报

SonicWall报告CVE-2024-40766正在被积极利用。

2025年8月7日 - 更新威胁情报:2025年的近期威胁活动显示,针对启用SSLVPN的Gen 7 SonicWall防火墙进行了针对性攻击。这些攻击与Akira勒索软件活动有关,利用了迁移的本地账户和未更改的密码。尽管SonicWall自2024年11月以来未更新其官方咨询,但他们已针对这些事件发布了新指南,强调了修补和凭证卫生的重要性。

受影响系统

  • SOHO(Gen 5)5.9.2.14-12o及更早版本
  • Gen6防火墙6.5.4.14-109n及更早版本
  • Gen7防火墙SonicOS构建版本7.0.1-5035及更早版本

风险等级

  • 政府
    • 大型和中型政府实体:高
    • 小型政府实体:中
  • 企业
    • 大型和中型企业实体:高
    • 小型企业实体:中
  • 家庭用户:低

技术摘要

在SonicWall SonicOS管理访问和SSLVPN中发现了一个漏洞,可能允许未授权资源访问,并在特定条件下导致防火墙崩溃。漏洞详情如下:

战术:初始访问(TA0001)
技术:利用面向公众的应用程序(T1190)

在SonicWall SonicOS管理访问和SSLVPN中发现了一个不当访问控制漏洞,可能导致未授权资源访问,并在特定条件下导致防火墙崩溃。(CVE-2024-40766)

成功利用这些漏洞中最严重的一个可能允许在系统上获得未授权访问。根据与系统相关的权限,攻击者可以查看、更改或删除数据。

建议

我们建议采取以下行动:

  • 在适当测试后立即应用SonicWall或其他使用此软件的供应商提供的适当更新到易受攻击的系统。(M1051:更新软件)

    • 保障措施7.1:建立和维护企业资产的漏洞管理流程:建立和维护文档化的漏洞管理流程。每年审查和更新文档,或在发生可能影响此保障措施的重大企业变更时进行。
    • 保障措施7.2:建立和维护修复流程:建立和维护基于风险的修复策略,文档化在修复流程中,每月或更频繁地进行审查。
    • 保障措施7.4:执行自动化应用程序补丁管理:每月或更频繁地通过自动化补丁管理对企业资产执行应用程序更新。
    • 保障措施7.5:执行内部企业资产的自动化漏洞扫描:每季度或更频繁地执行内部企业资产的自动化漏洞扫描。使用符合SCAP的漏洞扫描工具进行身份验证和非身份验证扫描。
    • 保障措施7.7:修复检测到的漏洞:每月或更频繁地根据修复流程通过流程和工具修复软件中检测到的漏洞。
    • 保障措施12.1:确保网络基础设施是最新的:确保网络基础设施保持最新。示例实现包括运行最新稳定版本的软件和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本以验证软件支持。
    • 保障措施18.1:建立和维护渗透测试计划:建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围,如网络、Web应用程序、API、托管服务和物理场所控制;频率;限制,如可接受时间和排除的攻击类型;联系信息;修复,如如何内部路由发现;以及回顾要求。
    • 保障措施18.2:执行定期外部渗透测试:根据计划要求执行定期外部渗透测试,不少于每年一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验,必须通过合格方进行。测试可以是白盒或黑盒。
    • 保障措施18.3:修复渗透测试发现:根据企业的修复范围和优先级策略修复渗透测试发现。

  • 对所有系统和服务应用最小权限原则。以非特权用户(无管理权限的用户)运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)

    • 保障措施4.7:管理企业资产和软件上的默认账户:管理企业资产和软件上的默认账户,如root、管理员和其他预配置的供应商账户。示例实现包括:禁用默认账户或使其无法使用。
    • 保障措施5.5:建立和维护服务账户清单:建立和维护服务账户清单。清单至少必须包含部门所有者、审查日期和目的。至少每季度或更频繁地按重复计划执行服务账户审查,以验证所有活动账户均已授权。

  • 漏洞扫描用于查找潜在可利用的软件漏洞以进行修复。(M1016:漏洞扫描)

    • 保障措施16.13:执行应用程序渗透测试:执行应用程序渗透测试。对于关键应用程序,身份验证的渗透测试比代码扫描和自动化安全测试更适合查找业务逻辑漏洞。渗透测试依赖于测试员的技能,以身份验证和非身份验证用户手动操作应用程序。

  • 架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段防止访问潜在敏感系统和信息。使用DMZ包含任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云(VPC)实例以隔离关键云系统。(M1030:网络分段)

    • 保障措施12.2:建立和维护安全网络架构:建立和维护安全网络架构。安全网络架构必须至少解决分段、最小权限和可用性。

  • 使用功能检测和阻止可能导致或指示软件利用发生的条件。(M1050:利用保护)

    • 保障措施10.5:启用反利用功能:在可能的情况下,在企业资产和软件上启用反利用功能,如Microsoft®数据执行保护(DEP)、Windows® Defender Exploit Guard(WDEG)或Apple®系统完整性保护(SIP)和Gatekeeper™。

2025年8月7日 - 更新建议

SonicWall更新指南:为确保全面保护,SonicWall强烈敦促所有从Gen 6导入配置到较新防火墙的客户立即采取以下步骤:

  • 将固件更新到版本7.3.0,其中包括增强的暴力攻击保护和额外的MFA控制。
  • 重置所有具有SSLVPN访问权限的本地用户账户密码,特别是在从Gen 6迁移到Gen 7期间携带的账户。
  • 继续应用先前推荐的最佳实践:
    • 启用僵尸网络保护和Geo-IP过滤。
    • 删除未使用或不活动的用户账户。
    • 强制执行MFA和强密码策略。

参考文献

2025年8月7日 - 更新参考文献(SonicWall, BleepingComputer, The Hacker News)
https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430
https://www.bleepingcomputer.com/news/security/sonicwall-finds-no-sslvpn-zero-day-links-ransomware-attacks-to-2024-flaw
https://thehackernews.com/2025/08/sonicwall-confirms-patched.html

CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-40766

SonicWall
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015

The Hacker News

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次