据网络安全公司Arctic Wolf透露,自7月中旬以来,SonicWall防火墙设备成为Akira勒索软件攻击的集中目标,攻击者可能利用了一个尚未公开的零日漏洞。Akira自2023年3月出现以来,已针对全球多领域超300家机构实施攻击,并在暗网上公布受害企业信息,包括Nissan、Hitachi及Stanford University等知名组织。
Arctic Wolf Labs观察到,黑客入侵多起事件的入口为SonicWall SSL VPN服务,并在入侵后迅速对网络内数据进行加密。尽管目前尚无法完全排除凭证攻击的可能性,但零日漏洞的存在被认为高度可信。此外,研究人员发现攻击者利用虚拟服务器主机实现VPN身份认证,而正常行为多起于普通宽带服务商网络。
Arctic Wolf建议SonicWall管理员临时禁用SSL VPN服务,并加强日志监控、端点防护,以及阻止主机型网络服务商的VPN连接,直至官方补丁发布为止。此前SonicWall已敦促用户为其SMA 100系列设备修补CVE-2025-40599关键漏洞,以防进一步风险。