Akira勒索团利用SonicWall漏洞攻击企业

网络安全威胁升级：Akira勒索团利用SonicWall漏洞发动攻击

2025年9月18日 - 安全研究机构Rapid7报告称，恶意软件团体Akira正利用SonicWall防火墙设备中的已知漏洞发动针对企业的勒索攻击。尽管SonicWall已经发布了针对此漏洞的补丁（CVE-SNWLID-2024-0015），许多组织尚未更新系统，使其成为攻击者的目标。

Rapid7指出，Akira团伙利用该漏洞获取对SonicWall设备的控制权，随后进行一系列操作，包括访问虚拟办公室门户（Virtual Office Portal）。该门户在默认配置下可能允许公众访问，而如果之前存在用户名和密码泄露事件，攻击者便可利用已知的凭据配置多因素身份验证（MFA/TOTP）。

Rapid7的研究表明，Akira团伙可能结合使用所有三种安全风险，包括漏洞、未更新的系统以及虚拟办公室门户的不安全配置，以获取未授权访问并进行勒索行动。

为了保护自身安全，Rapid7建议使用SonicWall设备的组织采取以下措施：

• 轮换所有SonicWall本地帐户密码，并删除任何未使用或非活动帐户。
• 为SonicWall SSLVPN服务配置多因素身份验证（MFA/TOTP）政策。
• 缓解SSVPN默认组安全风险。
• 将虚拟办公室门户限制在内部网络或受信任网络的访问权限范围内。
• 确保所有SonicWall设备运行最新补丁，并参考SonicWall官方的安全公告指南。

尽管SonicWall已发布了针对漏洞的补丁，但攻击者仍然积极利用该漏洞进行攻击，因此强烈建议所有使用SonicWall设备的用户立即采取行动保护自身系统安全。

阅读本文之前，你最好先了解…

勒索软件的运作机制: 勒索软件是一种恶意软件，会在感染目标系统后加密用户数据，并要求赎金才能恢复访问权限。攻击者通常会通过钓鱼邮件、虚假网站或漏洞利用来传播勒索软件。

SonicWall防火墙的作用: SonicWall是网络安全设备制造商，其产品包括防火墙、入侵检测系统和统一威胁管理平台等。这些设备旨在保护网络免受恶意流量和攻击的侵害。

CVE编号: CVE（Common Vulnerabilities and Exposures）是一个数据库，用于记录已知的软件漏洞和安全缺陷。每个漏洞都会被分配一个唯一的 CVE 编号，例如本文提到的 CVE-SNWLID-2024-0015。

Akira勒索团的活动: Akira是活跃于网络犯罪场景的恶意软件团体，其成员利用多种攻击手法，包括勒索软件、漏洞利用和社交工程来获取受害者的数据并进行加密勒索。

多因素身份验证 (MFA/TOTP): MFA是一种加强账户安全性的措施，它要求用户在登录系统时提供多个身份验证因子，例如密码、短信验证码或硬件密钥。

虚拟办公室门户: 虚拟办公室门户是企业为员工和合作伙伴提供远程访问内部网络资源的门户网站。如果配置不当，攻击者可能能够利用该门户进行恶意活动。

总结与建议

SonicWall防火墙设备存在已知的漏洞，而Akira勒索团正在积极利用这一漏洞进行攻击。虽然SonicWall已经发布了补丁，但许多组织尚未更新系统，使其成为目标。

为了保护自身安全，所有使用 SonicWall 设备的组织都应立即采取措施，包括：

• 轮换所有 SonicWall 本地帐户密码
• 配置多因素身份验证 (MFA/TOTP)
• 缓解 SSVPN 默认组安全风险
• 限制虚拟办公室门户访问权限
• 确保所有设备运行最新补丁

如果你对网络安全有任何疑问或担忧，请咨询专业的安全顾问。

如果你有其它意见，请评论留言。