SonicWall防火牆遭大規模偵察掃描,鎖定SSL VPN狀態查詢API尋找攻擊目標
資安業者發出警告:針對SonicWall防火牆出現大規模異常偵察活動
資安業者GreyNoise發出資安警告,指出網際網路出現一波針對SonicWall防火牆的大規模異常偵察活動。該行動共記錄超過8萬次掃描連線,其中高達92%連線皆指向單一的應用程式介面,專門用於探測設備是否對外啟用SSL VPN功能。
攻擊行為分析:系統性掃描與API探測
- 攻擊者並非進行廣泛的漏洞利用,而是有明確目標,專注於探測SonicWall設備是否啟用了SSL VPN功能。
- 在4天內累計超過8萬次連線,其中92%集中於訪問特定API介面,用以檢查SSL VPN狀態。
- 部分掃描行動透過商業代理輪替IP,將單一IP連線壓低以規避防火牆阻擋。
後續攻擊風險與潛在影響
研究人員研判,這種系統性的攻擊面掃描行動,通常是勒索軟體組織發動後續憑證攻擊與入侵的關鍵前置作業。攻擊者一旦確認設備啟用SSL VPN,將進一步利用該功能取得內部網路存取權,進而執行資料加密等惡意行為。
此類攻擊模式與2024年10月以來偵測到的類似事件一致,顯示攻擊者正積極尋找可被入侵的企業邊界設備。