勒索軟體集團 Akira 再度活躍,正鎖定 CVE-2024-40766 —— 一個早在 2024 年 8 月 就被揭露的 SonicWall 防火牆高風險漏洞(CVSS 9.3)。根據 Rapid7 最新調查,攻擊者極可能同時利用 三種攻擊途徑,結合弱密碼管理與組態錯誤,成功入侵目標環境並展開勒索攻擊。
漏洞背景
CVE-2024-40766 為 存取控制不當 弱點,存在於 SonicOS 管理介面中。雖然 SonicWall 已於 2024 年釋出修補程式,美國 CISA 也在同年將其納入 已知被利用漏洞清單(KEV),但許多組織仍因修補不完整而暴露風險。
2025 年 8 月,隨著 Akira 攻擊激增,鎖定 啟用 SSLVPN 的 Gen 7 防火牆,市場一度懷疑存在零日漏洞。SonicWall 經調查後確認,近期攻擊並非零日,而是利用已知漏洞 CVE-2024-40766,並且與密碼未輪替及預設組態風險高度相關。
三大攻擊途徑
Rapid7 報告指出,Akira 攻擊鏈條涉及下列三個風險組合:
- 未修補的 SonicWall 設備,持續暴露於 CVE-2024-40766。
- 密碼未重設 —— 尤其是從 Gen 6 遷移至 Gen 7 防火牆時,若使用者憑證沿用未更換,攻擊者可直接濫用。
- 不安全的預設組態,包括:
- SSLVPN Default Users Group 權限過寬,特別在 LDAP 環境下更易被濫用。
- Virtual Office Portal 對外開放,若帳密外洩,攻擊者可自行設定 MFA 或 TOTP,進一步維持存取權限。
影響情況
SonicWall 目前調查的相關事件不到 40 件,多數與防火牆遷移後未重設密碼有關。然而,Akira 的再次崛起清楚凸顯:漏洞修補不完整,將使風險持續存在,即使漏洞已公開超過一年。
防護建議
SonicWall 與 Rapid7 建議企業應立即採取以下措施:
- 升級至最新韌體(7.3.0 以上)
- 全面重設使用者密碼,特別是在防火牆遷移後
- 啟用多因子驗證(MFA)
- 限制並監控 Virtual Office Portal,僅允許可信任或內網存取
- 檢視並調整 SSLVPN 預設群組權限,避免過度開放
專家觀點
此次事件再次證明,單純打修補並不足以防禦。若缺乏密碼管理、MFA 與組態強化,舊漏洞仍會成為攻擊者的武器。Akira 的案例提醒我們:資安防護必須落實「完整修補」與「安全強化」,否則殘留的弱點將持續成為勒索軟體肆虐的入口。