背景图片来源／Tim Hüfner on Unsplash

7月份SonicWall防火墙遭Akira勒索软件攻击，安全研究人员近日发现，黑客能够突破SonicWall的多因素认证（Multi-Factor Authentication，MFA）成功感染勒索软件。

两个月前，安全厂商Arctic Wolf Labs检测到一波针对SonicWall SSL VPN设备的勒索软件攻击。黑客首先扫描传输端口，利用渗透测试工具Impacket通过SMB协议在受害者网络中执行指令，短短几分钟内就在其内部网络部署了勒索软件。

7月底，SonicWall发布了SonicOS 7.3.0版本，官方建议用户升级以增强对暴力破解和MFA攻击的防护。但后续发现，即使部署了更新版本的SonicOS（如8.0.2版）的设备仍遭到入侵，表明这并非简单的暴力破解行为，而可能是攻击者利用了此前泄露的账户凭证。根据Arctic Wolf公布的8月初防火墙日志样本显示，存在一次性密码（OTP）挑战成功的记录，且攻击者在不到一分钟内完成SSL VPN账号登录，并在受害网络中进行横向移动。

在最新研究中，Arctic Wolf发现攻击者用于攻击SonicWall SSL VPN的基础架构已进一步强化。证据显示多个VPN账号被快速、重复地成功登录，甚至出现同一客户端IP地址频繁登录的情况，以及规律性的登录活动，表明这些行为并非典型的合法使用模式，黑客可能已建立新的基础设施，实现自动化脚本验证过程。

更关键的发现是，Arctic Wolf研究人员相信攻击者已具备绕过多因素认证的能力，从而成功部署Akira勒索软件。分析多起入侵案例显示，约半数受害者启用了OTP功能但仍被成功登录。研究人员未发现相关VPN账号此前存在凭证泄露、被入侵或OTP解绑（unbinding）等恶意配置变更情况，因此判断攻击者已经能够突破SonicWall账户的MFA防护机制。不过目前尚无法确定黑客具体是如何实现MFA绕过的。

在谷歌上周发布的另一项关于SonicWall SMA产品的攻击分析中，一个编号为UNC 6148的黑客组织发起了零日攻击。攻击者利用SMA 100系列固件中的CVE-2025-40599漏洞，植入名为OVERSTEP的rootkit程序。该用户态程序可清除日志以逃避检测，在受感染设备中长期驻留，并建立反向shell窃取敏感信息，包括管理员凭证和一次性密码种子（Seed）。SonicWall随后发布更新，提供了可清除该rootkit的工具。

目前尚不清楚这两起攻击事件是否存在关联。

Arctic Wolf建议管理员重置所有曾运行存在漏洞固件版本的SonicWall设备的VPN凭证，因为类似rootkit的后门程序可能使攻击者在系统更新后仍保有持续访问权限。