HackerNews 编译，转载请注明出处： 与Akira勒索软件团伙有关的威胁行为者一直在针对SonicWall设备以获取初始访问权限。 网络安全公司Rapid7表示，在过去一个月中，观察到涉及SonicWall设备的入侵事件有所增加，特别是在2025年7月下旬有关Akira勒索软件活动重新出现的报道之后。 随后，SonicWall透露，针对其防火墙的SSL VPN活动涉及一个已存在一年的安全漏洞（CVE-2024-40766，CVSS评分：9.3），在迁移过程中，本地用户密码被保留且未被重置。 该公司指出：“我们观察到威胁行为者试图暴力破解用户凭据的活动有所增加。为了降低风险，客户应启用Botnet过滤功能以阻止已知的威胁行为者，并确保已启用账户锁定策略。” SonicWall还敦促用户审查LDAP SSL VPN默认用户组，如果在Akira勒索软件攻击的背景下配置错误，这将是一个“关键弱点”。 此设置会自动将每个成功通过LDAP身份验证的用户添加到预定义的本地组，无论他们是否实际属于Active Directory中的成员。如果该默认组可以访问敏感服务（如SSL VPN、管理界面或不受限制的网络区域），那么任何被入侵的AD账户，即使该账户并无合法理由需要这些服务，也会立即继承这些权限。 这实际上绕过了原本基于AD组的访问控制，一旦攻击者获得有效凭据，就会为他们直接进入网络边界提供一条路径。 Rapid7在其警报中表示，还观察到威胁行为者访问由SonicWall设备托管的虚拟办公门户，在某些默认配置下，这可能会促进公开访问，并使攻击者能够使用有效账户配置mMFA/TOTP，前提是此前存在凭据泄露的情况。 “Akira团伙可能正在利用这三种安全风险的组合来获取未经授权的访问权限并开展勒索软件行动。”该公司表示。 为了降低风险，建议组织机构更换所有SonicWall本地账户的密码，删除任何未使用或不活跃的SonicWall本地账户，确保已配置MFA/TOTP策略，并限制虚拟办公门户对内部网络的访问。 Akira针对SonicWall SSL VPN的目标也得到了澳大利亚网络安全中心（ACSC）的呼应，该中心承认，他们知道勒索软件团伙正通过这些设备攻击澳大利亚的易受攻击组织。 自2023年3月首次亮相以来，Akira一直是勒索软件威胁领域中持续存在的威胁，根据Ransomware.Live的信息，到目前为止，它已经声称有967名受害者。根据CYFIRMA分享的统计数据，在2025年7月，Akira共发动了40次攻击，使其成为继Qilin和INC Ransom之后的第三大活跃团伙。 在2025年第二季度影响全球工业实体的657次勒索软件攻击中，Qilin、Akira和Play勒索软件家族占据了前三名，分别报告了101起、79起和75起事件。 工业网络安全公司Dragos在上个月发布的一份报告中表示，Akira在“针对制造业和运输行业的持续攻击中保持了相当大的活动量，通过复杂的网络钓鱼和多平台勒索软件部署来实现”。 最近的Akira勒索软件感染还利用搜索引擎优化（SEO）中毒技术来分发流行IT管理工具的特洛伊木马化安装程序，这些安装程序随后被用来投放Bumblebee恶意软件加载器。 然后，这些攻击利用Bumblebee作为通道来分发AdaptixC2后利用和对抗性仿真框架、安装RustDesk以实现持久远程访问、窃取数据并部署勒索软件。 根据Palo Alto Networks Unit 42的说法，AdaptixC2的多功能性和模块化特性允许威胁行为者在受感染的系统上执行命令、传输文件并进行数据窃取。由于它也是开源的，这意味着攻击者可以根据自己的需求对其进行定制。 该网络安全公司表示，其他传播AdaptixC2的活动还利用模仿IT帮助台的Microsoft Teams通话来欺骗毫无戒心的用户，通过快速协助授予他们远程访问权限，并投放一个PowerShell脚本，该脚本解密并加载到内存中的shellcode有效载荷。 “Akira勒索软件团伙遵循标准的攻击流程：通过SSLVPN组件获得初始访问权限，提升到具有更高权限的账户或服务账户，从网络共享或文件服务器中定位并窃取敏感文件，删除或停止备份，并在虚拟化层部署勒索软件加密。”Rapid7表示。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Bishop Fox 的研究人员发现超过 178,000 个 SonicWall 下一代防火墙 (NGFW) 被公开利用。 SonicWall 下一代防火墙 (NGFW) 6 和 7 系列设备存在两个未经身份验证的拒绝服务漏洞（分别为 CVE-2022-22274 和 CVE-2023-0656），可能会导致远程代码执行。尽管 CVE-2023-0656 的PoC已公开发布，但截至目前，供应商尚未收到这些漏洞在野攻击利用的报告。 研究人员利用 BinaryEdge源数据扫描了管理界面暴露于互联网的 SonicWall 防火墙，发现其中76%容易受到1-2个安全问题的潜在影响。 这两个漏洞在本质上相同，都是由于重用了易受攻击的代码模式，但可以在不同的 HTTP URI 路径上进行利用。 研究人员还研发了一个测试脚本，用于在不引起设备崩溃的情况下评估设备是否容易受到攻击。这表明，可能存在大规模攻击对系统造成严重影响的风险。 在默认配置下，SonicOS 在崩溃后会自动重新启动。然而，如果在短时间内发生了3次崩溃，系统将进入维护模式，需要管理员进行操作才能恢复正常功能。   根据ZoomEye网络空间搜索引擎的测绘数据，目前有超过200万个 SonicWall 防火墙暴露在网络上，其中美国占比超过 50%。 研究人员建议易受攻击设备的管理员将 Web 管理界面限制在内部网络，并确保及时升级设备固件至最新版本。 报告还指出：“攻击者目前可以轻松利用漏洞进行拒绝服务攻击，但正如 SonicWall 在其建议中所述，存在潜在可能性使攻击者能够远程执行代码。虽然设计出可执行任意命令的漏洞是可能的，但要克服一些挑战，包括 PIE、ASLR 和stack canaries，需要进一步的研究。” 报告总结道：“对于攻击者而言，更大的挑战在于攻击前确定目标使用的具体固件和硬件版本，因为攻击需要根据这些参数进行个性化定制，由于目前尚无已知技术可以对SonicWall防火墙进行远程指纹识别，因此我们估计攻击者利用RCE的可能性仍然较低。 消息来源：securityaffairs，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

前不久号称史上最好的Windows系统“Win11”宣布首个正式版21H2将逐渐下线，系统用户将全面升级至22H2。 强制升级 前不久微软发出公告表示，Windows 11首个版本21H2（Build 22000）将于10月10日结束支持。所以官方决定，将面向 Windows 11 21H2 家庭版和专业版的设备开启自动更新到 Windows 11 22H2 版本。微软也开始通过 Windows Update 广泛部署 Windows 11 22H2。 同时微软称，此次更新将是渐进式的、长期的，并优先考虑面向运行 21H2 版本的设备。 不过，微软特别提到，对于11代酷睿和安装有Intel SST驱动程序特定版本的用户，更新暂不会推送，原因是会导致蓝屏错误，建议将驱动程序升级到version 10.30.00.5714或10.29.00.5714版本及更新。 对于此次的自动更新，用户也是褒贬不一。有部分用户表示此次Windows 11 22H2的更新增加了很多新功能包括快速布局改进、全局字幕、重新设计的任务栏图标溢出效果、新的任务管理器等，提升了用户体验。 但是也有一大批用户表示，“近几年系统的迭代对内存占用问题一直都在增长，我什么都没用呢 ，系统怎么占用这么多的内存 ？这是系统的正确升级方向吗？”。 当然，对于微软这种自动（强制）更新的情况我们已经是屡见不鲜了，但是在刚更新不久就出现了严重Bug。 刚升级就出问题 近日，安全硬件制造商 SonicWall 提醒客户，在Windows 11 22H2版系统上的网页内容过滤（WCF）功能出现限制使用的情况。 WCF功能允许管理员配置，允许或阻止对各种域/IP地址的访问，启用网络活动报告以方便监控，并节制带宽。简单来说就是类似“阻止打开可疑网址”的功能。 “该公司在周三发布的公告中说：”我们发现在运行Windows 11 22H2版本的端点上，Capture Client Windows 3.7.6和更早的客户端存在不一致的情况。”这导致在受影响的端点上强制执行封锁类别的网络内容过滤（WCF）不再有效。仅能使用自定义列表允许或阻止域名/URL。” 基于在限制访问恶意、非法或不适当的网络内容方面至关重要，Windows 11 22H2用户现在很容易受到潜在安全风险的影响，因为他们可以访问以前限制的域和URL。 该服务被破坏是因为Windows终端和SonicWall内容过滤服务之间交换的加密和解密的请求和响应是使用微软的加密应用编程接口（CryptoAPI）发送的。而在Windows 11 22H2版本中，微软CryptoAPIs已经被修改，使得Capture Client无法解密来自SonicWall内容过滤服务的响应。 目前该公司表示，他们正在对这一问题进行修复，并将在2月17日发布用于Windows的Capture Client 3.7.7时提供。 作为临时措施，SonicWall已建议管理员放弃将其Windows端点更新到最新的Windows 11版本，以避免破坏内容过滤。同时建议运行Windows 11的用户不要升级到22H2版本，直到Windows的Capture Client 3.7.7可用。     转自 Freebuf，原文链接：https://www.freebuf.com/news/357087.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 7月22日，网络安全公司SonicWall发布补丁，以缓解影响其Analytics On-Prem和全球管理系统产品的关键SQL注入（SQLi）漏洞。 该漏洞被跟踪为CVE-2022-22280，在CVSS评分系统上的严重性等级为9.4，源于该公司所描述的SQL命令中使用的“特殊元素的不当中和”，这可能导致未经身份验证的SQL注入。 “如果不在用户可控制的输入中充分删除或引用SQL语法，生成的SQL查询可能会导致这些输入被解释为SQL，而不是普通的用户数据。”MITRE在其对SQL注入的描述中指出。 这可以用于更改查询逻辑以绕过安全检查，或插入修改后端数据库的附加语句，其中可能包括执行系统命令。 DBappSecurity HAT Lab的H4lo和Catalpa发现并报告了影响2.5.0.3-2520 及更早版本的Analytics On-Prem 以及9.3.1-SP2-Hotfix1之前和包括它在内的所有GMS版本的漏洞。 建议依赖易受攻击设备的组织升级到Analytics 2.5.0.3-2520-Hotfix1和GMS 9.3.1-SP2-Hotfix-2。 SonicWall表示：“没有解决这个漏洞的方法，但是，通过整合Web应用程序防火墙来阻止SQLi尝试，可以显着降低被利用的可能性。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文