舊款SonicWall SSL-VPN設備多因素驗證漏洞未補全,被駭客破解植入後門
漏洞背景與攻擊手法
資安研究人員發現,舊款SonicWall SSL-VPN設備在多因素驗證(MFA)機制上存在修補不完整問題,導致駭客得以繞過驗證機制,成功入侵設備並植入後門與勒索軟體工具。
攻擊案例與影響範圍
- 2025年7月,SonicWall防火牆遭Akira勒索軟體攻擊,研究人員發現駭客能突破多因素驗證(MFA)防護,成功感染勒索軟體。
- 2025年10月,安全公司Huntress警告,SonicWall SSL VPN設備遭大規模入侵,攻擊者利用已洩露的憑證訪問多個客戶環境,事件已影響16個客戶。
- 2025年3月,ReliaQuest發現黑客利用CVE-2024-12802漏洞,透過暴力破解VPN憑證並繞過MFA,在30至60分鐘內部署勒索軟體工具。
- 2021年2月,研究人員發現SMA 100系列設備存在SQL注入漏洞(CVE-2021-20016),攻擊者可取得帳密資訊並獲得管理員權限,進而遠端執行任意程式碼。
後門與惡意軟體細節
駭客所使用的惡意軟體包含名為TinyShell的後門程式,偽裝成防火牆組態設定程式的ELF可執行檔與多個bash指令碼,可讓惡意程式持續在受害設備上運行。
此外,針對已更新但停止支援的SonicWall Secure Mobile Access(SMA)設備,駭客部署了名為「OVERSTEP」的rootkit惡意軟體,能修改設備設定並長期竊取組織機密。
專家建議與應對措施
專家建議用戶儘速更新設備至最新版本,並重設所有帳號密碼,同時啟用多因素驗證(MFA)以強化安全防護。對於已停止支援的舊款設備,應考慮更換或移除以降低風險。