SonicWall防火牆掃描活動激增疑似新漏洞前兆2026-05
GreyNoise 於 2026 年 5 月觀察到針對 SonicWall SonicOS 管理介面的掃描活動暴增至平時的 46 倍,與 Q1 掃描高峰後出現 CVE-2026-0400 的歷史模式高度相似,警示管理員提前部署防護措施。
觀測數據
- 峰值日期:2026-05-12,單日達 597,000 次請求(90 天最高值)
- 觀測期間:2026-05-09 ~ 2026-05-18
- User-Agent 特徵:99% 使用
Linux x86_64 Chrome 119(Q1 時為 94.5%,特徵一致) - 流量來源:荷蘭 56%、烏克蘭 44%
- 集中 ASN:AS211736 承載近 50% 連線,IP 多被標記「可疑」
- 目標 Port:Port 80/8080(HTTP,管理介面)
歷史對比與威脅評估
| 事件 | 掃描高峰 | 後續結果 |
|---|---|---|
| Q1 2026 | 2026-01-18、01-30、02-14 | 約 10 天後揭露 CVE-2026-0400 |
| 本次(2026-05) | 2026-05-09 ~ 05-18 | 尚未確認新漏洞,但模式高度相似 |
⚠️ 掃描激增與漏洞揭露並非絕對關聯,但模式相似度高,需警惕。
建議防護措施
立即行動:
- 限縮存取:僅允許管理員存取 SonicOS 管理 API 和 SSL VPN 入口
- 啟用 MFA:所有 SSL VPN 帳號啟用多因素驗證
- 稽核新帳號:檢查 2026-05-01 後建立的管理帳號
- 套用動態 IP 黑名單於網路邊緣裝置
長期措施:
- 持續關注 SonicWall PSIRT 安全公告,漏洞揭露 24 小時內修補
- 增加 SonicWall 裝置日誌保留期
相關事件
- SonicWall SSL-VPN MFA繞過漏洞CVE-2024-12802遭野外利用植入後門 — 前次 SonicWall 重大漏洞事件
相關實體
- sonicwall — 受影響廠商