鎖定SonicWall防火牆的掃描活動激增,可能將出現新漏洞
掃描活動激增與攻擊意圖
資安業者GreyNoise發現近二週網路上針對SonicWall管理介面的掃描活動出現高峰,單日最高達近60萬次,是平時次數的將近46倍。其中5月12日達到597,000次,為SonicOS API Scanner報告90天觀測值最高的一天。
攻擊行為與潛在風險
研究人員指出,雖然本次掃描活動幾乎不以漏洞利用為主,但過去已證實多個與SonicWall VPN攻擊面相關的高風險漏洞(如CVE-2024-53704)曾被實際濫用。攻擊者主要針對SSL VPN狀態查詢API進行探測,顯示其意圖明確。
類似事件與潛在關聯
- 該類掃描活動與近期針對思科ASA的攻擊行為相似,均出現區域聚集與相同TLS指紋,暗示可能存在關聯。
- GreyNoise警告,此類掃描活動往往預示著新漏洞將被披露或被利用,提醒企業加強對SonicWall設備的防護。
歷史漏洞與產品風險
過去曾有報告指出,SonicWall SMA100 SSLVPN的Web管理介面與Apache Web伺服器的mod_httprp庫存在兩處棧緩衝區溢出漏洞,可能允許遠端攻擊者執行任意指令。
此外,SonicWall亦曾於2023年7月警告客戶緊急修補多個影響其全球管理系統(GMS)防火牆與分析網絡報告引擎的關鍵漏洞。