SonicWall防火牆掃描活動激增疑似新漏洞前兆2026-05

GreyNoise 於 2026 年 5 月觀察到針對 SonicWall SonicOS 管理介面的掃描活動暴增至平時的 46 倍,與 Q1 掃描高峰後出現 CVE-2026-0400 的歷史模式高度相似,警示管理員提前部署防護措施。

觀測數據

  • 峰值日期:2026-05-12,單日達 597,000 次請求(90 天最高值)
  • 觀測期間:2026-05-09 ~ 2026-05-18
  • User-Agent 特徵:99% 使用 Linux x86_64 Chrome 119(Q1 時為 94.5%,特徵一致)
  • 流量來源:荷蘭 56%、烏克蘭 44%
  • 集中 ASN:AS211736 承載近 50% 連線,IP 多被標記「可疑」
  • 目標 Port:Port 80/8080(HTTP,管理介面)

歷史對比與威脅評估

事件掃描高峰後續結果
Q1 20262026-01-18、01-30、02-14約 10 天後揭露 CVE-2026-0400
本次(2026-05)2026-05-09 ~ 05-18尚未確認新漏洞,但模式高度相似

⚠️ 掃描激增與漏洞揭露並非絕對關聯,但模式相似度高,需警惕。

建議防護措施

立即行動:

  • 限縮存取:僅允許管理員存取 SonicOS 管理 API 和 SSL VPN 入口
  • 啟用 MFA:所有 SSL VPN 帳號啟用多因素驗證
  • 稽核新帳號:檢查 2026-05-01 後建立的管理帳號
  • 套用動態 IP 黑名單於網路邊緣裝置

長期措施:

  • 持續關注 SonicWall PSIRT 安全公告,漏洞揭露 24 小時內修補
  • 增加 SonicWall 裝置日誌保留期

相關事件

相關實體

來源文章