網(wǎng)絡(luò)安全公司警告稱，SonicWall防火墻中存在的一個(gè)嚴(yán)重認(rèn)證繞過(guò)漏洞正在被積極利用，該漏洞編號(hào)為CVE-2024-53704 。2025年2月10日，隨著B(niǎo)ishop Fox的研究人員公開(kāi)發(fā)布了概念驗(yàn)證（PoC）漏洞利用代碼，未修補(bǔ)設(shè)備組織面臨的風(fēng)險(xiǎn)大大增加。

漏洞詳情與攻擊方式

CVE-2024-53704是一個(gè)存在于SonicOS SSL VPN認(rèn)證機(jī)制中的高危漏洞，影響SonicWall Gen 6、Gen 7和TZ80系列防火墻。攻擊者可以通過(guò)向/cgi-bin/sslvpnclient端點(diǎn)發(fā)送包含base64編碼的空字節(jié)字符串的特制會(huì)話cookie，從而遠(yuǎn)程劫持活動(dòng)的VPN會(huì)話。

成功利用該漏洞可以繞過(guò)多因素認(rèn)證（MFA），暴露私有網(wǎng)絡(luò)路由，并允許未經(jīng)授權(quán)的用戶訪問(wèn)內(nèi)部資源。此外，被劫持的會(huì)話還可用于終止合法用戶連接。

漏洞被快速武器化

SonicWall最初于2025年1月7日披露了該漏洞，并敦促用戶立即修補(bǔ)。當(dāng)時(shí)廠商并未報(bào)告漏洞被實(shí)際利用的證據(jù)。然而，隨著B(niǎo)ishop Fox在2月10日發(fā)布PoC代碼，攻擊門(mén)檻大幅降低。2月12日，Arctic Wolf觀察到源自不到十個(gè)不同IP地址的攻擊嘗試，這些IP主要托管在虛擬私有服務(wù)器（VPS）上。

安全分析師認(rèn)為，漏洞被快速武器化是因?yàn)槠鋰?yán)重性和SonicWall設(shè)備曾被Akira和Fog等勒索軟件組織針對(duì)性攻擊的歷史。截至2月7日，Bishop Fox統(tǒng)計(jì)發(fā)現(xiàn)仍有超過(guò)4,500臺(tái)暴露于互聯(lián)網(wǎng)的SonicWall SSL VPN（Virtual Private Network）服務(wù)器未修補(bǔ)。受影響的固件版本包括：

• SonicOS 7.1.x（最高到7.1.1-7058）
• SonicOS 7.1.2-7019
• SonicOS 8.0.0-8035

修復(fù)版本（如SonicOS 8.0.0-8037和7.1.3-7015）已于2025年1月發(fā)布。

漏洞利用模式與此前的攻擊活動(dòng)類似。2024年底，Akira勒索軟件組織利用被攻破的SonicWall VPN賬戶滲透網(wǎng)絡(luò)，通常在初始訪問(wèn)后的幾小時(shí)內(nèi)加密數(shù)據(jù)。

風(fēng)險(xiǎn)與應(yīng)對(duì)建議

Arctic Wolf警告稱，CVE-2024-53704可能成為勒索軟件部署、憑證竊取或間諜活動(dòng)的入口。SonicWall和網(wǎng)絡(luò)安全機(jī)構(gòu)強(qiáng)調(diào)，用戶需采取以下緊急措施：

• 升級(jí)固件到修復(fù)版本（如8.0.0-8037或7.1.3-7015）。
• 在無(wú)法立即修補(bǔ)的情況下，關(guān)閉公共接口的SSL VPN功能。
• 限制VPN訪問(wèn)到受信任的IP范圍，并為剩余用戶強(qiáng)制啟用MFA。

隨著漏洞被大規(guī)模利用，組織必須優(yōu)先修補(bǔ)以降低風(fēng)險(xiǎn)。PoC代碼公開(kāi)、攻擊可行性高以及SonicWall在企業(yè)網(wǎng)絡(luò)中的廣泛應(yīng)用，都凸顯了問(wèn)題的緊迫性。

正如Arctic Wolf所警告的那樣，鑒于漏洞嚴(yán)重性和勒索軟件攻擊者的敏捷性，拖延修補(bǔ)可能導(dǎo)致“災(zāi)難性的網(wǎng)絡(luò)入侵”。