随着数字化进程的加快,企业对远程访问和网络安全设备的依赖日益增加,SonicWall作为知名的网络安全解决方案提供商,其产品广泛应用于全球众多企业网络中。然而,近日SonicWall确认其多款设备存在严重安全漏洞,这些漏洞已被黑客实际利用,引发业界广泛关注。理解这些漏洞的本质及其潜在风险,对于企业防范针对性攻击、保障网络环境安全尤为重要。SonicWall此次披露的漏洞主要影响其SMA100系列的多款安全移动访问设备,包括但不限于SMA 100、200、210、400、410及500v型号。两个关键漏洞分别是CVE-2023-44221和CVE-2024-38475,这两者的细节值得深究。CVE-2023-44221是一个涉及SMA100 SSL-VPN管理界面的漏洞,归类为操作系统命令注入(OS Command Injection)类型。
具体来说,该漏洞由于对特殊字符元素处理不当,允许远程已认证的攻击者以权限受限的“nobody”用户身份注入任意命令。这种漏洞的危害极大,攻击者能够利用该漏洞,绕过系统限制,执行恶意代码,进而掌控设备或进一步渗透企业网络。CVE-2024-38475则源于Apache HTTP Server 2.4.59及其之前版本的mod_rewrite模块中存在的输出转义缺失漏洞。该漏洞允许攻击者通过构造恶意URL映射,访问文件系统中允许被服务器服务的文件位置。这种文件访问的不当授权问题,不仅会泄露敏感信息,还可能被攻击者用来会话劫持,从而绕过认证机制,获得管理权限。值得关注的是,SonicWall官方在2025年4月底更新安全通告时,透露黑客已经利用CVE-2024-38475进行了新的攻击手法,攻击者不仅利用此缺陷访问特定文件,还能借此进行会话劫持,获取当前管理员的有效会话令牌。
这种攻击链的组合使得整个入侵过程更加隐蔽且高效,攻击者可借此实现对系统的完全控制。漏洞的修补及响应方面,SonicWall已于2023年12月4日和2024年12月4日陆续发布了版本10.2.1.10-62sv及10.2.1.14-75sv以上的补丁,分别针对这两项漏洞进行了修复。尽管补丁已经发布,但安全机构和厂商警告称,实际利用这些漏洞的攻击正在持续且规模不断扩大,尤其是在缺乏及时升级和安全管理的环境中,更易成为攻击目标。美国网络安全和基础设施安全局(CISA)于2025年5月1日将这两个漏洞加入其“已知利用漏洞”目录(KEV),强调联邦机构必须在2025年5月22日前完成相应补丁的部署。此举反映出漏洞影响的严重性以及其利用的广泛性,为企业提供了明确的安全指引。网络安全公司的进一步分析揭示了攻击的更多技术细节。
watchTowr Labs安全团队指出,CVE-2024-38475能够绕过SMA设备的认证机制,降低攻击者操作门槛。与此同时,CVE-2023-44221作为一个后认证命令注入漏洞,存在于SonicWall SMA管理界面的诊断菜单中。两大漏洞被攻击者巧妙地串联利用,形成了名为“SonciBoom”的攻击链,攻击者先通过绕过认证获得管理员会话令牌,再执行命令注入,完成对设备的全面控制。该攻击链的公开证明(PoC)也已发布,极大地推动了攻击技术的传播和恶意利用风险。安全专家对这类漏洞的存在表示遗憾,尤其是在企业级网络安全产品中出现如此基于基础组件(如Apache HTTP Server mod_rewrite)和管理界面漏洞,暴露了当前安全审计和开发流程中的不足。这警示厂商必须加强安全设计和测试,提升产品整体的安全韧性。
对于企业用户而言,针对SonicWall设备的漏洞风险,紧急采取以下措施显得尤为关键:第一,立即确认所使用的SMA设备型号及其固件版本,确保已升级至官方发布的安全补丁版本。第二,重点检查设备的登录日志与会话记录,排查是否存在未授权访问或异常登录活动,及时采取封堵措施。第三,强化访问控制,限制管理接口的访问范围,采用多因素认证等增强身份验证安全。第四,结合整体网络安全架构,使用入侵检测和防御系统,监测异常行为,防范后续潜在攻击。此外,为应对复杂的威胁环境,企业需要提升自身的安全意识和响应能力,定期开展安全演练和漏洞扫描,确保安全策略和防护措施能够应对新兴攻击手段。总的来看,SonicWall多款设备的严重漏洞及其实际被利用,再一次提醒整个网络安全业界,远程访问解决方案的安全性是防护基础中的重中之重。
攻击者对这些漏洞的利用,最大化地展现了攻击链的复杂性和隐蔽性,漏洞的修补和防护需迅速跟进,切忌掉以轻心。未来,企业在选择和部署安全设备时,应重点关注厂商的安全响应速度和产品的安全设计,力求构筑更坚固的网络防线,保障信息资产的安全。随着网络攻击技术不断演进,只有全方位提升安全管理和防护能力,才能在激烈的网络战场中立于不败之地。
