鎖定SonicWall防火牆的掃描活動激增,可能將出現新漏洞
來源: iThome | 日期: 2026-05-26 | URL: https://www.ithome.com.tw/news/176119
核心事件
GreyNoise 觀察到針對 SonicWall SonicOS 管理介面的掃描活動激增,可能是新漏洞或零時差漏洞揭露的前兆。
關鍵數據
- 觀測期間:2026年5月9日~5月18日
- 峰值:5月12日達 597,000 次(90天觀測最高值,平時的 46 倍)
- User-Agent 特徵:99% 請求使用
Linux x86_64 Chrome 119(與Q1掃描特徵相同) - 流量來源:荷蘭 56%、烏克蘭 44%
- 集中 ASN:AS211736 承載近 50% 連線量,IP 多被標記為「可疑」
- 目標 Port:主要為 Port 80/8080(HTTP)
歷史對比
| 事件 | 時間 | 結果 |
|---|---|---|
| Q1掃描高峰 | 1月18日、30日、2月14日 | 10天後發現 CVE-2026-0400 |
| 本次掃描高峰 | 5月9日~18日 | 尚未確認漏洞,但模式相似 |
立即行動建議
- 限縮存取:僅允許管理員存取 SonicOS 管理 API 和 SSL VPN 入口
- 啟用 MFA:所有 SSL VPN 帳號須啟用多因素驗證
- 稽核新帳號:檢查2026年5月1日後建立的管理帳號
- 套用動態 IP 黑名單於網路邊緣裝置
長期安全措施
- 持續關注 SonicWall PSIRT 安全公告,漏洞揭露 24 小時內修補
- 增加 SonicWall 裝置日誌保留期
- 強化對外流量監控與警告
衍生頁面
- SonicWall防火牆掃描活動激增疑似新漏洞前兆2026-05 — 主要概念頁面
- sonicwall — 受影響廠商