SonicWall防火牆遭大規模偵察掃描,鎖定SSL VPN狀態查詢API尋找攻擊目標
資安業者發出警告:大規模異常偵察活動
資安業者GreyNoise發出資安警告,指出網際網路出現一波針對SonicWall防火牆的大規模異常偵察活動。該行動共記錄超過8萬次掃描連線,其中高達92%連線皆指向單一的應用程式介面,專門用於探測設備是否對外啟用SSL VPN功能。
攻擊行為分析與目標鎖定
- 攻擊者並非進行廣泛的漏洞利用,而是有明確目標,專注於探測SonicWall設備是否啟用了SSL VPN功能。
- 在4天內累計超過8萬次連線,其中92%集中於訪問SSL VPN狀態查詢API。
- 攻擊者透過商業代理輪替4,102個出口IP,將單一IP的連線壓低以規避防火牆或安全系統的偵測。
後續攻擊風險
研究人員研判,這種系統性的攻擊面掃描行動,通常是勒索軟體組織發動後續憑證攻擊與入侵的關鍵前置作業。一旦成功取得目標設備的訪問權,攻擊者將進一步執行資料加密等惡意行為。
相關技術與漏洞資訊
此事件與CVE-2024-53704相關,顯示攻擊者針對SonicWall防火牆的特定功能進行精準掃描,並可能利用零日漏洞進行後續入侵。