【安全资讯】Akira勒索软件利用SonicWall SSLVPN漏洞（CVE-2024-40766）

概要：

SonicWall最近发出警告，标识为CVE-2024-40766的关键访问控制漏洞现已在野外被积极利用。该漏洞不仅影响SonicOS管理访问，还影响防火墙的SSLVPN功能，情况更加严峻。Akira勒索软件团伙正在利用这一漏洞攻击SonicWall设备上的SSLVPN用户账户。

主要内容：

SonicWall确认，CVE-2024-40766漏洞影响其防火墙的SSLVPN功能，Akira勒索软件团伙正在利用这一漏洞进行攻击。该漏洞原本被认为仅影响SonicOS管理访问，但现已确认其影响范围更广，涉及SSLVPN功能。Arctic Wolf观察到，Akira勒索软件团伙利用该漏洞攻击禁用多因素认证（MFA）和运行易受攻击SonicOS固件版本的本地账户。

SonicWall识别出以下产品和版本易受CVE-2024-40766漏洞影响：SonicWall Gen 5运行SonicOS版本5.9.2.14-12o及更早版本，已在SonicOS版本5.9.2.14-13o中修复；SonicWall Gen 6运行SonicOS版本6.5.4.14-109n及更早版本，已在6.5.2.8-2n（适用于SM9800、NSsp 12400、NSsp 12800）和版本6.5.4.15-116n（适用于其他Gen 6防火墙）中修复；SonicWall Gen 7运行SonicOS版本7.0.1-5035及更早版本，在7.0.1-5035及以后版本中不可复现。

SonicWall强烈建议管理员立即应用可用补丁。除了打补丁，还建议采取以下缓解措施：将防火墙管理限制在受信任的来源，并在可能的情况下禁用对WAN管理门户的互联网访问；将SSLVPN访问限制在受信任的来源，并在不需要时完全禁用；对于Gen 5和Gen 6设备，SSLVPN用户应立即更新密码，管理员应为本地用户启用“用户必须更改密码”选项；为所有SSLVPN用户启用基于TOTP或电子邮件的OTP的MFA。

CVE-2024-40766漏洞被勒索软件团伙积极利用，强调了及时打补丁和实施强大安全措施的重要性。使用受影响SonicWall产品的组织必须立即采取行动，保护其网络和数据。