锁定VPN的最新攻击手法与漏洞利用趋势！从CEV到DEV的管理

整理及翻译◆叡扬信息 资安直属事业处

2025年7月底，资安研究人员发现勒索病毒攻击活动中，利用「前置入侵」手法的案例明显增加。多起调查显示，这些前置入侵的入口点均来自SonicWall防火墙设备的SSL VPN功能，暗示系统中可能存在尚未被发现的漏洞。值得注意的是，部分受攻击的设备，即使已完整套用修补程序仍遭入侵，显示攻击者可能利用零时差漏洞或透过已被窃取的帐户认证取得存取权。

Akira勒索病毒于2023年3月首次现身，随后迅速演变成为重大网络威胁。Akira采用勒索软件即服务（Ransomware-as-a-Service，RaaS）模式，并以双重勒索手法「先窃取敏感数据，再进行数据加密」闻名，同时透过公开曝光来施压受害者。勒索金额从20万美元到400万美元不等，2024年的总收入已超过4,200万美元。截至2025年初，全球已有超过250家企业受到影响。

Akira主要锁定中小型组织，涵盖多个产业领域，包括制造业、专业、科学及技术服务业、建筑业、运输与仓储业、信息科技、教育、医疗保健以及金融服务业。

Akira常透过已被窃取的帐户认证，入侵仅采用单因素验证保护的系统，例如：VPN或远程桌面服务。取得初始存取权后，攻击团队会利用公开的工具进行横向移动、凭证搜集及网络侦察。他们专门锁定未修补的系统、重复使用的账号密码，以及错误配置的基础设施来建立和维持存取。

近期威胁情报显示，Akira关联团体可能锁定SonicWall SSL VPN基础架构，特别是缺乏多因素验证或未及时套用修补的环境。虽然Akira的攻击手法与利用对外网络漏洞相符，但目前尚无公开公告证实Akira已针对CVE-2025-40596至CVE-2025-40599进行利用。Akira的攻击方式通常会利用公开在网络上的系统漏洞，但目前还没有证据显示他们已经利用CVE-2025-40596至CVE-2025-40599这些漏洞。

• 若这些漏洞被结合利用，可能形成一条高效的攻击链：
• 1. 初始存取：CVE-2025-40596和CVE-2025-40597可能让攻击者绕过身份验证，远程破坏或控制SMA装置。
• 2. 侦察与权限提升：CVE-2025-40598可用来注入JavaScript或透过反射型XSS窃取凭证，协助横向移动。
• 3. 持续控制与有效部署：如果取得管理员权限后，CVE-2025-40599允许攻击者上传恶意代码，并透过远程程序代码执行建立持久控制权。

这些步骤与Akira已知的攻击手法相符，包括快速提升权限、停用复原工具、加密系统资源，并窃取数据作为勒索筹码。

• 若您的组织有使用SonicWall SMA100设备应立即执行以下措施：
• 套用SonicWall所有韧体更新，包括2025年7月针对相关CVE漏洞发布的热修补程序。
• 关闭对外公开的SMA100 Web界面存取。
• 采用网络微分段进行有效联机细致维度的黑白名单管理存取。
• 为所有管理员账号启用多因素身份验证（MFA）。
• 定期更换并审核管理员凭证。
• 检视从2025年7月初起的验证日志、档案上传目录及系统行为纪录
• 将远程访问基础架构配置在独立VLAN。
• 于接近SMA设备的系统部署端点侦测与响应（EDR）。

虽然CISA尚未正式确认Akira勒索软件与CVE-2025-40596至CVE-2025-40599漏洞的利用存在关联，但这些漏洞构成了严重的风险，尤其是在攻击者能够取得或重复使用管理凭证的情况下。这种情况及时提醒我们，修补程序管理、凭证安全防护和网络微分段在防御当今勒索软件威胁方面的重要性。

在此同时，如何持续监测自身与供应链的资安状况，也成为企业强化韧性不可或缺的一环。叡扬信息提供Bitsight软件组态暨厂商供应链管理平台可以透过外部视角提供全方位的风险管理，持续监测企业自身及供应链的安全状态，帮助组织快速发现潜在漏洞与安全弱点，减少网络攻击带来的营运风险。

Bitsight采用业界领先的外部风险评分技术，透过量化数据呈现企业的资安状况，使决策者能够清楚掌握风险程度并优化安全策略。此外，平台可自动分析企业曝露于因特网的资产，评估攻击面，并提供具体的改善建议，协助企业加强防护措施并符合各类法规要求，确保资安合规。