網(wǎng)絡(luò)安全公司警告稱，SonicWall防火墻中存在的一個嚴重認證繞過漏洞正在被積極利用，該漏洞編號為CVE-2024-53704 。2025年2月10日，隨著Bishop Fox的研究人員公開發(fā)布了概念驗證（PoC）漏洞利用代碼，未修補設(shè)備組織面臨的風險大大增加。

漏洞詳情與攻擊方式

CVE-2024-53704是一個存在于SonicOS SSL VPN認證機制中的高危漏洞，影響SonicWall Gen 6、Gen 7和TZ80系列防火墻。攻擊者可以通過向/cgi-bin/sslvpnclient端點發(fā)送包含base64編碼的空字節(jié)字符串的特制會話cookie，從而遠程劫持活動的VPN會話。

成功利用該漏洞可以繞過多因素認證（MFA），暴露私有網(wǎng)絡(luò)路由，并允許未經(jīng)授權(quán)的用戶訪問內(nèi)部資源。此外，被劫持的會話還可用于終止合法用戶連接。

漏洞被快速武器化

SonicWall最初于2025年1月7日披露了該漏洞，并敦促用戶立即修補。當時廠商并未報告漏洞被實際利用的證據(jù)。然而，隨著Bishop Fox在2月10日發(fā)布PoC代碼，攻擊門檻大幅降低。2月12日，Arctic Wolf觀察到源自不到十個不同IP地址的攻擊嘗試，這些IP主要托管在虛擬私有服務(wù)器（VPS）上。

安全分析師認為，漏洞被快速武器化是因為其嚴重性和SonicWall設(shè)備曾被Akira和Fog等勒索軟件組織針對性攻擊的歷史。截至2月7日，Bishop Fox統(tǒng)計發(fā)現(xiàn)仍有超過4,500臺暴露于互聯(lián)網(wǎng)的SonicWall SSL VPN（Virtual Private Network）服務(wù)器未修補。受影響的固件版本包括：

• SonicOS 7.1.x（最高到7.1.1-7058）
• SonicOS 7.1.2-7019
• SonicOS 8.0.0-8035

修復(fù)版本（如SonicOS 8.0.0-8037和7.1.3-7015）已于2025年1月發(fā)布。

漏洞利用模式與此前的攻擊活動類似。2024年底，Akira勒索軟件組織利用被攻破的SonicWall VPN賬戶滲透網(wǎng)絡(luò)，通常在初始訪問后的幾小時內(nèi)加密數(shù)據(jù)。

風險與應(yīng)對建議

Arctic Wolf警告稱，CVE-2024-53704可能成為勒索軟件部署、憑證竊取或間諜活動的入口。SonicWall和網(wǎng)絡(luò)安全機構(gòu)強調(diào)，用戶需采取以下緊急措施：

• 升級固件到修復(fù)版本（如8.0.0-8037或7.1.3-7015）。
• 在無法立即修補的情況下，關(guān)閉公共接口的SSL VPN功能。
• 限制VPN訪問到受信任的IP范圍，并為剩余用戶強制啟用MFA。

隨著漏洞被大規(guī)模利用，組織必須優(yōu)先修補以降低風險。PoC代碼公開、攻擊可行性高以及SonicWall在企業(yè)網(wǎng)絡(luò)中的廣泛應(yīng)用，都凸顯了問題的緊迫性。

正如Arctic Wolf所警告的那樣，鑒于漏洞嚴重性和勒索軟件攻擊者的敏捷性，拖延修補可能導(dǎo)致“災(zāi)難性的網(wǎng)絡(luò)入侵”。