FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞背景与利用情况

网络安全公司Rapid7最新报告显示，阿基拉（Akira）勒索软件组织正在利用SonicWall防火墙中一个存在已满一年的高危漏洞（编号CVE-2024-40766，CVSS评分9.3），攻击者可能通过三种不同攻击向量获取初始访问权限。

该漏洞属于SonicOS管理系统中的访问控制缺陷，攻击者可借此未经授权访问设备。SonicWall已于2024年8月修复此漏洞，美国网络安全和基础设施安全局（CISA）在同年9月将其列入已知被利用漏洞（KEV）目录。

事件调查过程

2025年8月，针对启用SSLVPN功能的第七代防火墙的阿基拉勒索软件攻击激增，促使SonicWall启动调查。公司最初怀疑攻击可能涉及零日漏洞，但最终确认近期攻击均源于已知漏洞CVE-2024-40766的利用。目前SonicWall正在调查不到40起相关事件，多数与第六代至第七代防火墙迁移过程中未重置本地用户密码有关。

SonicWall在安全公告中明确表示："我们现已高度确信近期SSLVPN活动与零日漏洞无关，而是与先前披露的CVE-2024-40766存在显著关联。"

多重攻击技术分析

研究人员发现，攻击者正在组合利用三项安全风险：

1. SSLVPN默认用户组风险：在某些LDAP配置中可能授予未授权访问
2. 虚拟办公室门户（Virtual Office Portal）滥用：攻击者利用暴露的凭证配置多因素认证（MFA）/基于时间的一次性密码（TOTP）
3. 防火墙迁移过程中的密码继承问题

Rapid7调查报告指出："收集到的证据表明，阿基拉组织可能正综合运用这三种安全风险来获取未授权访问并实施勒索软件攻击。"

防护建议

安全专家建议SonicWall用户立即采取以下措施：

• 加强账户安全并启用MFA
• 修复SSLVPN默认用户组风险
• 严格限制并监控虚拟办公室门户访问
• 及时安装安全补丁

阿基拉勒索软件自2023年3月开始活跃，其运营者宣称已入侵教育、金融、房地产等多个行业的组织。与其他勒索软件团伙类似，该组织已开发出针对VMware ESXi服务器的Linux加密器。

参考来源：

Akira Ransomware exploits year-old SonicWall flaw with multiple vectors

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）