鎖定SonicWall防火牆的掃描活動激增,可能將出現新漏洞

來源: iThome | 日期: 2026-05-26 | URL: https://www.ithome.com.tw/news/176119

核心事件

GreyNoise 觀察到針對 SonicWall SonicOS 管理介面的掃描活動激增,可能是新漏洞或零時差漏洞揭露的前兆。

關鍵數據

  • 觀測期間:2026年5月9日~5月18日
  • 峰值:5月12日達 597,000 次(90天觀測最高值,平時的 46 倍)
  • User-Agent 特徵:99% 請求使用 Linux x86_64 Chrome 119(與Q1掃描特徵相同)
  • 流量來源:荷蘭 56%、烏克蘭 44%
  • 集中 ASN:AS211736 承載近 50% 連線量,IP 多被標記為「可疑」
  • 目標 Port:主要為 Port 80/8080(HTTP)

歷史對比

事件時間結果
Q1掃描高峰1月18日、30日、2月14日10天後發現 CVE-2026-0400
本次掃描高峰5月9日~18日尚未確認漏洞,但模式相似

立即行動建議

  • 限縮存取:僅允許管理員存取 SonicOS 管理 API 和 SSL VPN 入口
  • 啟用 MFA:所有 SSL VPN 帳號須啟用多因素驗證
  • 稽核新帳號:檢查2026年5月1日後建立的管理帳號
  • 套用動態 IP 黑名單於網路邊緣裝置

長期安全措施

  • 持續關注 SonicWall PSIRT 安全公告,漏洞揭露 24 小時內修補
  • 增加 SonicWall 裝置日誌保留期
  • 強化對外流量監控與警告

衍生頁面