網絡安全公司警告稱，SonicWall防火墻中存在的一個嚴重認證繞過漏洞正在被積極利用，該漏洞編號為CVE-2024-53704 。2025年2月10日，隨著Bishop Fox的研究人員公開發布了概念驗證（PoC）漏洞利用代碼，未修補設備組織面臨的風險大大增加。

漏洞詳情與攻擊方式

CVE-2024-53704是一個存在于SonicOS SSL VPN認證機制中的高危漏洞，影響SonicWall Gen 6、Gen 7和TZ80系列防火墻。攻擊者可以通過向/cgi-bin/sslvpnclient端點發送包含base64編碼的空字節字符串的特制會話cookie，從而遠程劫持活動的VPN會話。

成功利用該漏洞可以繞過多因素認證（MFA），暴露私有網絡路由，并允許未經授權的用戶訪問內部資源。此外，被劫持的會話還可用于終止合法用戶連接。

漏洞被快速武器化

SonicWall最初于2025年1月7日披露了該漏洞，并敦促用戶立即修補。當時廠商并未報告漏洞被實際利用的證據。然而，隨著Bishop Fox在2月10日發布PoC代碼，攻擊門檻大幅降低。2月12日，Arctic Wolf觀察到源自不到十個不同IP地址的攻擊嘗試，這些IP主要托管在虛擬私有服務器（VPS）上。

安全分析師認為，漏洞被快速武器化是因為其嚴重性和SonicWall設備曾被Akira和Fog等勒索軟件組織針對性攻擊的歷史。截至2月7日，Bishop Fox統計發現仍有超過4,500臺暴露于互聯網的SonicWall SSL VPN（Virtual Private Network）服務器未修補。受影響的固件版本包括：

• SonicOS 7.1.x（最高到7.1.1-7058）
• SonicOS 7.1.2-7019
• SonicOS 8.0.0-8035

修復版本（如SonicOS 8.0.0-8037和7.1.3-7015）已于2025年1月發布。

漏洞利用模式與此前的攻擊活動類似。2024年底，Akira勒索軟件組織利用被攻破的SonicWall VPN賬戶滲透網絡，通常在初始訪問后的幾小時內加密數據。

風險與應對建議

Arctic Wolf警告稱，CVE-2024-53704可能成為勒索軟件部署、憑證竊取或間諜活動的入口。SonicWall和網絡安全機構強調，用戶需采取以下緊急措施：

• 升級固件到修復版本（如8.0.0-8037或7.1.3-7015）。
• 在無法立即修補的情況下，關閉公共接口的SSL VPN功能。
• 限制VPN訪問到受信任的IP范圍，并為剩余用戶強制啟用MFA。

隨著漏洞被大規模利用，組織必須優先修補以降低風險。PoC代碼公開、攻擊可行性高以及SonicWall在企業網絡中的廣泛應用，都凸顯了問題的緊迫性。

正如Arctic Wolf所警告的那樣，鑒于漏洞嚴重性和勒索軟件攻擊者的敏捷性，拖延修補可能導致“災難性的網絡入侵”。