鎖定SonicWall防火牆的掃描活動激增，可能將出現新漏洞

業者在今年5月9日到5月18日之間觀察到針對SonicWall SonicOS管理介面的掃描活動出現高峰。其中5月12日，達到597,000次，是SonicOS API Scanner報告90天觀測值最高的一天，是平時次數的將近46倍。

這個現象和今年初掃描激增現象頗為相似，而後可能會出現新漏洞。今年初，GreyNoise團隊1月18日、30日及2月14日先後觀察到掃描高峰，10天後就發現了CVE-2026-0400。因此GreyNoise指出，兩周來的掃描次數激增可能是漏洞揭露的前兆。

5月中、上旬的掃描中，99%的請求載有同一個瀏覽器使用者代理（User-Agent）字串：Linux x86_64上的Chrome 119。這指紋特徵與今年第一季針對SonicWall設備進行大量掃描時的特徵相同（當時94.5%的流量有此特徵）。這顯示攻擊者使用的工具/腳本沒有改變。

觀測到的連線階段（sessions）集中來自兩個國家的網路，分別是荷蘭（56%）及烏克蘭（44%）。此外，流量高度集中於單一自治系統（ASN），光是AS211736就承載了總連線量近一半（約50%），且其IP位址大多數被GreyNoise標示為「可疑」。最後，幾乎所有的掃描行為集中對網路設備的Port 80/ 8080（HTTP協定）進行，顯示為大規模、組織性的掃描活動。

資安業者說明，掃描次數升高的漏洞揭露的關係並非絕對。掃描活動上升可能是漏洞前兆、或第1季多波攻擊串的第一波、也可能是不相干的活動。

雖然資安業者未咬定一定是駭客濫用漏洞前的偵察活動，但應該相去不遠，因此研究人員提醒SonicWall設備管理員應立即行動。立即行動包括限縮只有管理員才能存取SonicOS管理API和SSL VPN入口網站，避免管理介面的公開曝露。其次，應要求所有SSL VPN帳號啟用多因素驗證（MFA），並且稽核2026年5月1日以後建立的新管理帳號，以及在網路邊緣裝置套用動態IP黑名單。

長期建議安全措施，包括時時留意SonicWall產品資安事件回應團隊（PSIRT）發送的安全公告，儘可能在漏洞揭露24小時內修補。此外，應該增加SonicWall裝置的日誌保留期，及增加對外流量的警告。