[6]CISA 确认 SonicWall 漏洞正在被利用 CVE202440766 ^繁體

美国网络安全和基础设施安全局 （CISA） 已将 CVE-2024-40766（最近修复的会影响 SonicWall 防火墙的不当访问控制漏洞）添加到其已知利用漏洞目录中，从而确认它正在被攻击者积极利用。

尽管 KEV 条目并未说明它被用于勒索软件活动，但 Arctic Wolf 和 Rapid7 都表示有间接证据表明这一点。

我们目前所知道的

在 SonicWall 修改其安全公告以表示 CVE-2024-40766“可能被在野外利用”并表示该漏洞影响 SSLVPN 功能以及设备的管理访问的同一天，Arctic Wolf 研究员 Stefan Hostetler 分享说，他们观察到 Akira 勒索软件附属公司使用初始访问向量进行攻击，涉及 SonicWall 设备上的 SSLVPN 用户帐户泄露。

“在每种情况下，被盗用的帐户都是设备本身的本地帐户，而不是与 Microsoft Active Directory 等集中式身份验证解决方案集成。此外，所有受感染的帐户都禁用了 MFA，受影响设备上的 SonicOS 固件位于已知易受 CVE-2024-40766 攻击的版本中，“他指出。

Rapid7 周一插话说：“截至 2024 年 9 月 9 日，Rapid7 了解到最近的几起事件（包括外部和 Rapid7 观察到的），其中 SonicWall SSLVPN 帐户成为目标或遭到入侵，包括勒索软件团伙。

“像 CVE-2024-40766 这样的漏洞经常用于对受害者环境的初始访问，”该公司表示，尽管将 CVE-2024-40766 与这些事件联系起来的证据仍然是间接的，但他们建议管理员立即通过升级到最新的 SonicOS 固件版本或限制防火墙管理和 SSLVPN 访问可信来源来减轻漏洞利用的威胁，并尽可能禁用互联网访问。

“SonicWall 强烈建议将 GEN5 和 GEN6 防火墙与拥有本地管理帐户的 SSLVPN 用户一起使用的客户立即更新其密码，以增强安全性并防止未经授权的访问，”SonicWall 还指出，并建议管理员为所有 SSLVPN 用户启用多因素身份验证。

[来源: 安全客]