鎖定VPN的最新攻擊手法與漏洞利用趨勢！從CEV到DEV的管理

整理及翻譯◆叡揚資訊 資安直屬事業處

2025年7月底，資安研究人員發現勒索病毒攻擊活動中，利用「前置入侵」手法的案例明顯增加。多起調查顯示，這些前置入侵的入口點均來自SonicWall防火牆設備的SSL VPN功能，暗示系統中可能存在尚未被發現的漏洞。值得注意的是，部分受攻擊的設備，即使已完整套用修補程式仍遭入侵，顯示攻擊者可能利用零時差漏洞或透過已被竊取的帳號憑證取得存取權。

Akira勒索病毒於2023年3月首次現身，隨後迅速演變成為重大網路威脅。Akira採用勒索軟體即服務（Ransomware-as-a-Service，RaaS）模式，並以雙重勒索手法「先竊取敏感資料，再進行資料加密」聞名，同時透過公開曝光來施壓受害者。勒索金額從20萬美元到400萬美元不等，2024年的總收入已超過4,200萬美元。截至2025年初，全球已有超過250家企業受到影響。

Akira主要鎖定中小型組織，涵蓋多個產業領域，包括製造業、專業、科學及技術服務業、建築業、運輸與倉儲業、資訊科技、教育、醫療保健以及金融服務業。

Akira常透過已被竊取的帳號憑證，入侵僅採用單因素驗證保護的系統，例如：VPN或遠端桌面服務。取得初始存取權後，攻擊團隊會利用公開的工具進行橫向移動、憑證蒐集及網路偵察。他們專門鎖定未修補的系統、重複使用的帳號密碼，以及錯誤配置的基礎設施來建立和維持存取。

近期威脅情報顯示，Akira關聯團體可能鎖定SonicWall SSL VPN基礎架構，特別是缺乏多因素驗證或未及時套用修補的環境。雖然Akira的攻擊手法與利用對外網路漏洞相符，但目前尚無公開公告證實Akira已針對CVE-2025-40596至CVE-2025-40599進行利用。Akira的攻擊方式通常會利用公開在網路上的系統漏洞，但目前還沒有證據顯示他們已經利用CVE-2025-40596至CVE-2025-40599這些漏洞。

若這些漏洞被結合利用，可能形成一條高效的攻擊鏈：
• 1. 初始存取：CVE-2025-40596和CVE-2025-40597可能讓攻擊者繞過身份驗證，遠端破壞或控制SMA裝置。
• 2. 偵察與權限提升：CVE-2025-40598可用來注入JavaScript或透過反射型XSS竊取憑證，協助橫向移動。
• 3. 持續控制與有效部署：如果取得管理員權限後，CVE-2025-40599允許攻擊者上傳惡意程式碼，並透過遠端程式碼執行建立持久控制權。

這些步驟與Akira已知的攻擊手法相符，包括快速提升權限、停用復原工具、加密系統資源，並竊取資料作為勒索籌碼。

若您的組織有使用SonicWall SMA100設備應立即執行以下措施：
• 套用SonicWall所有韌體更新，包括2025年7月針對相關CVE漏洞發佈的熱修補程式。
• 關閉對外公開的SMA100 Web介面存取。
• 採用網路微分段進行有效連線細緻維度的黑白名單管理存取。
• 為所有管理員帳號啟用多因素身份驗證（MFA）。
• 定期更換並審核管理員憑證。
• 檢視從2025年7月初起的驗證日誌、檔案上傳目錄及系統行為紀錄
• 將遠端存取基礎架構配置在獨立VLAN。
• 於接近SMA設備的系統部署端點偵測與回應（EDR）。

雖然CISA尚未正式確認Akira勒索軟體與CVE-2025-40596至CVE-2025-40599漏洞的利用存在關聯，但這些漏洞構成了嚴重的風險，尤其是在攻擊者能夠取得或重複使用管理憑證的情況下。這種情況及時提醒我們，修補程式管理、憑證安全防護和網路微分段在防禦當今勒索軟體威脅方面的重要性。

在此同時，如何持續監測自身與供應鏈的資安狀況，也成為企業強化韌性不可或缺的一環。叡揚資訊提供Bitsight軟體組態暨廠商供應鏈管理平台可以透過外部視角提供全方位的風險管理，持續監測企業自身及供應鏈的安全狀態，幫助組織快速發現潛在漏洞與安全弱點，減少網路攻擊帶來的營運風險。

Bitsight採用業界領先的外部風險評分技術，透過量化數據呈現企業的資安狀況，使決策者能夠清楚掌握風險程度並優化安全策略。此外，平台可自動分析企業曝露於網際網路的資產，評估攻擊面，並提供具體的改善建議，協助企業加強防護措施並符合各類法規要求，確保資安合規。