吳明宜資安業者 Arctic Wolf 研究人員發現,SonicWall SSL VPN 在七月底成為 Akira 勒索軟體新一波攻擊的目標,可能是利用了未知漏洞。
Akira 於 2023 年初現身,迅速席捲全球多個產業,過去兩年間,Akira 在其公開網站的受害者清單中加入了 300 多家公司,受害企業包括澳洲暨大洋洲的日產 (Nissan) 、日立 (Hitachi) 、和史丹福大學。
Arctic Wolf 自 7 月 15 日起,在短期內觀察到多起勒索軟體經由 SonicWall SSL VPN 連線的非授權入侵行動。由於被濫用的 SonicWall SSL VPN 裝置都已安裝完整更新,懷疑有可能有未知的零時差漏洞。
研究人員表示,一般合法 VPN 登入帳號的連線都是來自寬頻網路供應商的網路,但勒索軟體組織經常是利用代管 VPN 服務完成 VPN 驗證。他們還發現,攻擊者一登入後很快就發動勒索軟體檔案加密攻擊。
但研究人員也表示不能排除暴力破解、字典攻擊和憑證填充 (credential stuffing) 等強迫驗證的攻擊手法。
雖然研究人員是上個月 15 號首次證實 SonicWall SSL VPN 的攻擊活動,但 Arcitic Wolf 早在去年 10 月即觀測到惡意從 VPN 登入的行動,顯示攻擊者早就暗中鎖定 SonicWall 裝置。
SonicWall 對這樁攻擊尚未回應。研究人員呼籲在有新版本軟體修補可能的零時差漏洞前,企業應關閉 SonicWall SSL VPN 服務。
這是 SonicWall 產品兩周內最新一起資安事件。上周 SonicWall 才針對重大安全漏洞 CVE-2025-40599 發佈修補程式,該漏洞可讓攻擊者執行遠端程式碼,影響中小企業用防火牆產品 SMA 100 。