針對 SonicWall SSL VPN 設備的 Akira 勒索軟體攻擊仍在持續演變，網路安全公司 Arctic Wolf 報告稱，他們觀察到了一場針對 SonicWall 防火牆的持續攻擊活動，其中威脅行為者即使啟用了一次性密碼 (OTP) 多因素身份驗證也能成功登入帳戶。

這項觀察結果令人深感憂慮，因為它暗示攻擊者已經找到了一種在初始入侵後繞過關鍵防禦機制的方法。安全專家推測，攻擊者可能是在最初利用漏洞時，竊取了具有長效期的會話憑證或能夠繞過 MFA 驗證的內部令牌，而非僅僅是使用者名稱和密碼。這使得他們在漏洞本身被修補後，仍能利用偷來的「鑰匙」重新進入企業網路。

7 月，BleepingComputer 報告Akira 勒索軟體正在利用 SonicWall SSL VPN 設備入侵企業網絡，這讓研究人員懷疑有人利用零日漏洞來攻擊這些設備。SonicWall 最終將這些攻擊與 2024 年 9 月披露的不當存取控制漏洞（編號為CVE-2024-40766）聯繫起來。

儘管該漏洞已於 2024 年 8 月修補，但即使在應用了安全性更新之後，威脅行為者仍繼續使用先前從被利用的裝置中竊取的憑證。在將攻擊與使用 CVE-2024-40766 竊取的憑證連結起來後，SonicWall 敦促管理員重置所有 SSL VPN 憑證並確保在其裝置上安裝了最新的 SonicOS 韌體。

Akira 勒索軟體集團在成功登入後，便會展開其慣用的攻擊手法：橫向移動、竊取敏感數據，最終對網路中的系統進行加密。因此，網路管理員必須意識到，單純的修補漏洞並不足以完全阻擋威脅。最關鍵的防禦步驟在於採取積極的應變措施，包括強制所有 VPN 使用者立即重置其密碼和 MFA 設定。同時，組織應審查其 MFA 實施是否足夠強大，特別是在驗證流程中，是否能有效使舊的會話憑證或令牌失效，從根本上杜絕攻擊者利用陳舊或被盜憑證重新獲得立足點的機會。持續監控網路流量異常，尤其是來自 VPN 的流量，對於及時識別和應對這類持續性的威脅至關重要。

資料來源：https://www.bleepingcomputer.com/news/security/akira-ransomware-breaching-mfa-protected-sonicwall-vpn-accounts/