专家警告：SonicWall VPN 遭大规模入侵，影响超过 100 个账户

网络安全公司 Huntress 周五警告称，SonicWall SSL VPN 设备可能遭遇“大规模入侵”，从而访问多个客户环境。

报告称： “威胁行为者正在受感染的设备上快速验证多个账户。这些攻击的速度和规模表明，攻击者似乎控制了有效凭证，而不是暴力破解。”

据称，此次攻击活动的大部分始于2025年10月4日，16个客户账户的100多个SonicWall SSL VPN账户受到影响。在Huntress调查的案例中，SonicWall设备上的身份验证源自IP地址202.155.8[.]73。

该公司指出，在某些情况下，威胁行为者没有在网络中采取进一步的对抗行动，并在短时间后断开连接。然而，在其他情况下，我们发现攻击者正在进行网络扫描活动，并试图访问多个本地 Windows 帐户。

DFIR 保留服务
此前不久，SonicWall承认发生安全事件，导致存储在 MySonicWall 帐户中的防火墙配置备份文件未经授权泄露。根据最新消息，此次泄露事件影响了所有使用 SonicWall 云备份服务的客户。

Arctic Wolf表示： “防火墙配置文件存储着敏感信息，威胁行为者可以利用这些信息来入侵并访问组织的网络。这些文件可以为威胁行为者提供关键信息，例如用户、组和域设置、DNS 和日志设置以及证书。”

然而，亨特雷斯指出，目前没有证据表明此次入侵与近期入侵激增有关。

考虑到敏感凭据存储在防火墙配置中，建议使用 MySonicWall 云配置备份服务的组织在实时防火墙设备上重置其凭据，以避免未经授权的访问。

还建议尽可能限制 WAN 管理和远程访问，撤销任何接触防火墙或管理系统的外部 API 密钥，监控登录是否存在可疑活动的迹象，并对所有管理员和远程帐户实施多因素身份验证 (MFA)。

此次披露正值针对 SonicWall 防火墙设备进行初始访问的勒索软件活动增加之际，这些攻击利用已知的安全漏洞（CVE-2024-40766）来破坏目标网络以部署 Akira 勒索软件。

CIS 构建套件
Darktrace 在本周发布的一份报告中表示，它检测到 2025 年 8 月下旬针对一位未具名美国客户的入侵行为，入侵行为涉及网络扫描、侦察、横向移动、使用 UnPAC 哈希等技术进行权限提升以及数据泄露。

报告称：“其中一台被入侵的设备后来被确认为 SonicWall 虚拟专用网络 (VPN) 服务器，这表明该事件是针对 SonicWall 技术的 Akira 勒索软件活动的一部分。”

Akira 勒索软件攻击者发起的此次攻击活动凸显了保持最新补丁程序的重要性。威胁攻击者不仅会利用零日漏洞，还会继续利用之前披露的漏洞，这凸显了即使在补丁程序发布后也需要持续保持警惕的必要性。