🔐 **安全漏洞导致防火墙备份文件泄露**：网络安全公司SonicWall报告称，由于一安全漏洞，约5%客户存储在云端的防火墙配置备份文件被未知威胁行为者访问。这些文件包含加密的凭证，但仍可能为攻击者提供利用防火墙的便利。SonicWall已确认此次事件并非勒索软件攻击，且未发现备份文件被在线公开泄露。

🛠️ **客户应对措施与修复方案**：SonicWall为受影响客户提供了详细的指导，包括登录com验证云备份状态，检查账户中是否有受影响的序列号标记。建议客户立即采取遏制措施，例如限制WAN服务访问、关闭管理接口、禁用VPN服务、重置防火墙密码和动态令牌。此外，SonicWall还提供了修改版首选项文件，用于随机化本地用户密码、重置动态令牌绑定和随机化IPSec VPN密钥，以增强安全性。

⚠️ **与Akira勒索软件攻击的关联性**：此次事件的披露正值Akira勒索软件组织利用SonicWall设备上的一个长期存在的安全漏洞（CVE-2024-40766）进行初始网络访问之际。近期，Huntress安全公司披露了一起涉及SonicWall VPN漏洞的Akira勒索软件事件，其中攻击者利用明文恢复代码绕过了多因素认证，旨在禁用防御机制并执行恶意操作，这进一步突显了SonicWall设备安全管理的重要性。

HackerNews 编译，转载请注明出处：

网络安全公司SonicWall 敦促客户在影响MySonicWall 帐户的安全漏洞中暴露防火墙配置备份文件后重置凭据。

该公司表示，近期检测到针对防火墙云备份服务的可疑活动，未知威胁行为者访问了约5%客户存储在云中的备份防火墙偏好设置文件。

“虽然文件中的凭证经过加密，但其中包含的信息可能让攻击者更容易利用相关防火墙。”该公司强调此次事件并非针对其网络的勒索软件攻击，目前未发现任何文件被威胁行为者在线泄露。“这是一系列旨在获取备份偏好设置文件的暴力攻击，可能被威胁行为者进一步利用。”目前尚不清楚攻击者身份。

该公司建议客户立即采取以下措施：

第一，登录com验证是否启用云备份。

第二，检查账户中受影响序列号是否被标记。

第三，通过限制WAN服务访问、关闭HTTP/HTTPS/SSH管理、禁用SSL VPN和IPSec VPN、重置防火墙保存的密码和动态令牌（TOTP），以及审查日志和近期配置变更来启动遏制修复程序。

此外，还建议受影响客户将SonicWall提供的新首选项文件导入防火墙。新的首选项文件包含以下变更：

所有本地用户密码随机化

重置动态令牌绑定（如已启用）

IPSec VPN密钥随机化

公司还发出以下通知：“SonicWall提供的修改版偏好设置文件基于云存储中的最新文件创建。若该文件不符合您的设置需求，请勿使用。”

此次事件披露之际，隶属Akira勒索软件组织的威胁行为者持续利用已存在一年的安全漏洞（CVE-2024-40766，CVSS评分：9.3） targeting未修复的SonicWall设备获取初始网络访问权限。

本周，网络安全公司Huntress详细披露了一起涉及SonicWall VPN漏洞的Akira勒索软件事件：威胁行为者利用包含其安全软件恢复代码的明文文件绕过多因素认证（MFA），压制事件可见性，并试图移除端点防护。

“此次事件中，攻击者使用暴露的Huntress恢复代码登录门户，关闭活动警报并卸载EDR代理，有效的蒙蔽企业防御系统使其易受后续攻击。”研究人员迈克尔·埃尔福德和查德·哈德森表示，“此类访问权限可被武器化以禁用防御、操纵检测工具并执行恶意操作。企业应将恢复代码视为与特权账户密码同等敏感的凭证。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文