今年7月，安全厂商Arctic Wolf针对勒索软件Akira的攻击行为发出警告，指出黑客锁定SonicWall防火墙，疑似利用SSL VPN零日漏洞得手。随后SonicWall展开调查，确认黑客利用的是去年8月公布的CVE-2024-40766（CVSS风险评分为9.3）。然而，此类攻击行为目前有扩大的趋势。

9月10日，澳大利亚网络安全中心（ACSC）发出警告，指出他们掌握到CVE-2024-40766在本地被积极利用的情况。Akira利用该漏洞对SonicWall的SSL VPN系统发起攻击，可能导致未经授权的访问，并在特定情况下引发防火墙宕机。ACSC呼吁用户尽快检查SonicWall设备的使用状况，并根据厂商发布的公告和指导进行排查和修复。

次日，安全厂商Rapid7也发布博客文章对相关攻击态势发出警告。他们表示，在SonicWall上个月发布相关通报之后，观察到针对该品牌设备的入侵活动明显增加。攻击者正在访问这类设备的Virtual Office Portal网站，试图重置SSL VPN用户的动态口令（OTP）以及多因素认证（MFA）配置。

Rapid7指出，在某些默认配置下，该门户可被任何人通过互联网直接访问。一旦用户账号密码泄露，攻击者便可借此修改OTP和MFA设置。

此外，他们还提到该品牌防火墙SSL VPN默认用户组存在的安全风险。在部分配置中，如果管理员使用默认LDAP组配置SSL VPN服务，可能会导致超出合理范围的访问权限。这意味着未经授权的用户可能在不经过AD配置的情况下使用SSL VPN服务。Rapid7推测，Akira很可能正是利用这些安全漏洞获取未经授权的访问权限，并进而实施勒索软件攻击。