根据网络安全公司Bishop Fox的分析,超过25,000个公开可访问的SonicWall SSLVPN设备存在严重漏洞,其中20,000个使用的SonicOS/OSX固件版本已不再受到厂商支持。这些结果源于针对今年披露的一系列重要漏洞的研究,这些漏洞影响了SonicWall设备。
漏洞被勒索软件利用
最近,勒索软件团伙(包括Fog和Akira)利用了影响SonicWall SSL VPN设备的漏洞,因为这些设备是攻击者获取公司网络初始访问权限的诱人目标。
大规模攻击面
Bishop Fox通过使用Shodan和BinaryEdge等互联网扫描工具及其专有指纹技术,识别出430,363个公开暴露的SonicWall防火墙。公开暴露意味着防火墙的管理或SSL VPN接口可通过互联网访问,这为攻击者提供了探测漏洞、过时/未打补丁的固件、错误配置和暴力破解弱密码的机会。
Bishop Fox解释道:“防火墙的管理接口绝不应公开暴露,因为这带来了不必要的风险。”
“虽然SSL VPN接口旨在通过互联网向外部客户提供访问,但理想情况下应通过源IP地址限制进行保护。”
固件版本的调查
在调查这些设备使用的固件版本时,研究人员发现6,633个设备使用的第4和第5系列固件均在多年前达到生命周期终止(EoL)。另外14,077个设备使用的是现在部分支持的第6系列的已不再支持的版本。
这导致20,710个设备运行的EoL固件暴露于许多公共漏洞之下,但这个数字并不能准确代表问题的规模。
Bishop Fox还发现13,827个设备运行未知的固件版本,197,099个设备运行不受支持的第6系列固件,但无法确定确切版本,另有29,254个设备运行未知的第5系列固件。
漏洞的严重性
在使用指纹技术分析扫描结果以识别特定固件版本及其对已知漏洞的保护时,研究人员确定有25,485个设备存在严重漏洞,94,018个设备存在高风险漏洞。
大多数确认存在漏洞的设备运行第7系列固件,但尚未更新到最新版本,这样可以修复安全缺口。
虽然总共有119,503个漏洞端点,相较于2024年1月发现的178,000个易受DoS和RCE攻击的设备有所改善,但这仍然表明补丁采用的速度缓慢。
结论
SonicWall VPN设备的安全漏洞问题亟需解决,企业应采取措施及时更新固件,以防止勒索软件等攻击者利用这些漏洞。这不仅关乎网络安全,也与企业的整体运营息息相关。
建议企业定期检查其VPN设备的固件版本,并确保及时应用安全补丁,以降低风险。
