2026 年 2 月 22 日至 2 月 25 日,威胁情报机构 GreyNoise 监测到一场高度协同的侦察活动,目标直指部署 SonicWall SonicOS 的网络设备。
此次攻击已出现超过 84,000 次扫描行为,来源涵盖 4,300 余个独立 IP,攻击者正在全网疯狂搜索可攻入企业内网的薄弱网关。
这场行动的突出特点在于极强的精准性。
它并非嘈杂、广撒网式的漏洞利用,而是有明确目的:在监测到的扫描中,92% 都只执行一项操作—— 访问特定 API 接口,检查目标是否开启了 SonicWall SSL VPN 功能。
攻击者使用商业代理服务隐藏真实来源,在数千个 IP 之间快速轮换,以短促、精准的方式探测,从而避开自动化防御系统。
由于此阶段几乎没有真实攻击行为,这也证实当前属于纯粹的攻击面测绘,是后续开展撞库、暴力破解前的关键准备步骤。
对于运行 SonicWall 设备的机构而言,这场侦察行动等同于红色警报。
SonicWall SSL VPN 已是当代勒索软件组织最常用、资料最完备的初始入侵入口之一。
已知 Akira 和 Fog 等勒索软件组织,多次展示出在 4 小时内,即可利用泄露的 SonicWall VPN 凭据完成全网加密的能力。
其造成的经济损失极为惊人:自 2023 年 3 月以来,仅 Akira 团伙就入侵了至少 250 家机构,非法获利约 2.44 亿美元。
更令人警惕的是,75% 的 SonicWall VPN 入侵事件均由 Akira 实施。
安全团队必须立即采取行动,避免成为下一个目标。
GreyNoise 建议在 5 分钟内完成以下自检,判断设备是否已被盯上:
第一步:检查日志
-
/api/sonicos/is-sslvpn-enabled(探测 VPN 启用状态) -
/sonicui/7/login/(探测管理界面) -
/cgi-bin/userLogin(尝试 VPN 凭据)
第二步:核查活跃 VPN 会话
若使用 SonicOS 7.x,进入管理页面:
NETWORK | SSL VPN > Status
第三步:升级固件并强制启用 MFA
确保 SonicOS 固件已更新至最新版本。
等于或低于以下版本均存在 CVE-2024-53704 漏洞风险:
- 7.1.1-7058
- 7.1.2-7019
- 8.0.0-8035
最重要的措施:
为所有 SSL VPN 用户强制开启多因素认证(MFA)。
发表评论
您还未登录,请先登录。
登录