CISA 确认 SonicWall 漏洞正在被利用 (CVE-2024-40766)

美国网络安全和基础设施安全局 (CISA) 已将 CVE-2024-40766(最近修复的会影响 SonicWall 防火墙的不当访问控制漏洞)添加到其已知利用漏洞目录中,从而确认它正在被攻击者积极利用。

CVE-2024-40766 已被利用

尽管 KEV 条目并未说明它被用于勒索软件活动,但 Arctic Wolf 和 Rapid7 都表示有间接证据表明这一点。

我们目前所知道的

在 SonicWall 修改其安全公告以表示 CVE-2024-40766“可能被在野外利用”并表示该漏洞影响 SSLVPN 功能以及设备的管理访问的同一天,Arctic Wolf 研究员 Stefan Hostetler 分享说,他们观察到 Akira 勒索软件附属公司使用初始访问向量进行攻击,涉及 SonicWall 设备上的 SSLVPN 用户帐户泄露。

“在每种情况下,被盗用的帐户都是设备本身的本地帐户,而不是与 Microsoft Active Directory 等集中式身份验证解决方案集成。此外,所有受感染的帐户都禁用了 MFA,受影响设备上的 SonicOS 固件位于已知易受 CVE-2024-40766 攻击的版本中,“他指出。

Rapid7 周一插话说:“截至 2024 年 9 月 9 日,Rapid7 了解到最近的几起事件(包括外部和 Rapid7 观察到的),其中 SonicWall SSLVPN 帐户成为目标或遭到入侵,包括勒索软件团伙。

“像 CVE-2024-40766 这样的漏洞经常用于对受害者环境的初始访问,”该公司表示,尽管将 CVE-2024-40766 与这些事件联系起来的证据仍然是间接的,但他们建议管理员立即通过升级到最新的 SonicOS 固件版本或限制防火墙管理和 SSLVPN 访问可信来源来减轻漏洞利用的威胁,并尽可能禁用互联网访问。

“SonicWall 强烈建议将 GEN5 和 GEN6 防火墙与拥有本地管理帐户的 SSLVPN 用户一起使用的客户立即更新其密码,以增强安全性并防止未经授权的访问,”SonicWall 还指出,并建议管理员为所有 SSLVPN 用户启用多因素身份验证。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐