跳过导航
跳过mega-menu

安全公告:Arctic Wolf观察到针对SonicWall SSLVPN帐户的Akira勒索软件活动

2024年8月22日,一个远程代码执行漏洞 (cve - 2024 - 40766) 在SonicOS中披露,影响SonicWall防火墙设备的选择. 在披露的时候, 目前还不知道主动利用,也没有公开的概念验证利用. 截至9月6日, 2024, 然而, 安全通知已更新了更多细节, 表明该漏洞可能被积极利用. 另外, 该建议扩大了漏洞的范围,包括管理访问和本地SSLVPN帐户.

在Arctic Wolf观察到的最近的威胁活动中, Akira勒索软件分支机构进行了勒索软件攻击,其初始访问向量涉及SonicWall设备上的SSLVPN用户帐户的妥协. 在每一个例子中, 受感染的帐户是设备本身的本地帐户,而不是与Microsoft Active 目录等集中身份验证解决方案集成. 另外, 所有受损帐户的MFA都被禁用了, 受影响设备上的SonicOS固件在已知易受CVE-2024-40766攻击的版本中.

Arctic Wolf 强烈建议 运行受影响SonicWall产品的组织应尽快升级到最新支持的SonicOS固件版本. 另外, 这是SonicWall推荐的, 应该为所有本地管理的SSLVPN帐户启用MFA.


Arctic Wolf 强烈建议 在受影响的SonicWall设备上升级SonicOS到最新支持的版本. 

对于受影响的产品,应尽快使用贴片, 最新的补丁版本可以在 mysonicwall.com

设备

影响版本

固定的版本

SOHO(第5代)防火墙

SonicOS 5.9.2.14- 120及更老版本

5.9.2.14-13o

第6代防火墙-SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, 

Nsa 3600, Nsa 3650, Nsa 4600, Nsa 4650, Nsa 5600, Nsa 5650, Nsa 6600, Nsa 6650, sm9200, sm9250, 

sm9400, sm9450, sm9600, sm9650, 300p, 600p, soho 250, soho 250w, 350, 350w

SonicOS 6.5.4.14-109n及更早的版本

6.5.2.8-2n(适用于SM9800、NSsp 12400、NSsp 12800) 

6.5.4.15.116n(适用于其他第6代防火墙设备)

第七代防火墙:TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, 

TZ570P, TZ670, NSa 2700, NSa 3700,NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700

SonicOS构建版本7.0.1-5035及更早版本. 

注意: 此漏洞在高于7的SonicOS固件版本中无法重现.0.1-5035,但是SonicWall建议您安装最新的固件.

7.0.1-5072

重置所有本地管理帐户的SSLVPN帐户密码
根据SonicWall的建议, Arctic Wolf建议所有Gen5和Gen6设备的用户更新密码,以防止未经授权的访问. 管理员必须手动为每个帐户启用“用户必须更改密码”选项,以便用户可以重置密码. 

另外, 如果在Active 目录或其他集中式身份验证解决方案中使用了相同的密码, 请确保用户也在这些位置更新他们的密码,以避免在未来的攻击(如勒索软件)中利用这些帐户。. 

适用于GEN5防火墙

Navigate to Users > Local Users. 有关详细信息,请参阅SonicOS 5的第1340和1341页.9管理员指南,标题为“管理用户和认证设置”." 

细节: SonicOS 5.9管理员指南

适用于GEN6防火墙

Navigate to MANAGE | System Setup > Users > Local Users & 组. 有关详细信息,请参阅SonicOS 6的227和228页.5系统设置管理指南,标题为“配置本地用户设置”." 

细节: SonicOS 6.5系统设置管理指南
为所有本地SSLVPN帐户启用MFA 
SonicWall建议为所有本地管理的SSLVPN帐户启用MFA. 

有关如何实现此类配置的详细信息,请参阅以下文章: http://www.sonicwall.com/support/knowledge-base/how-do-i-configure-2fa-for-ssl-vpn-with-totp/190829123329169

澳门十大正规赌博娱乐平台

在这里注册