SonicWall предупреди, че хакери активно експлоатират уязвимостта CVE-2024-12802 в Gen6 SSL-VPN устройствата на компанията, позволяваща заобикаляне на multifactor authentication (MFA) и неоторизиран достъп до корпоративни среди.

Според разследване на ReliaQuest, атакуващите са използвали brute-force техники за компрометиране на VPN акаунти, след което са успявали да преминат MFA защитата и да подготвят инфраструктурата за ransomware атаки.

Обновяването на firmware не е достатъчно

Критичният проблем е, че при Gen6 устройствата инсталирането на последния firmware не решава напълно проблема. SonicWall потвърждава, че е необходима и ръчна промяна на LDAP конфигурацията.

Организации, които са обновили системите си, но не са изпълнили допълнителните remediation стъпки, остават уязвими.

При Gen7 и Gen8 устройствата рискът се премахва само чрез firmware update.

Как работи атаката

Уязвимостта произтича от липса на правилно MFA прилагане при използване на UPN login формат. Това позволява на атакуващите да се удостоверят директно с валидни credentials, без да преминават през втория фактор.

Според ReliaQuest в реални атаки хакерите:

• осъществяват VPN достъп;
• извършват вътрешно reconnaissance;
• проверяват повторно използване на пароли;
• достъпват файлови сървъри;
• използват RDP за lateral movement;
• опитват внедряване на post-exploitation инструменти.

В един от случаите атакуващите достигат domain-joined file server само за около 30 минути след първоначалния достъп.

Подготовка за ransomware операции

Изследователите установяват опити за внедряване на:

• Cobalt Strike beacon;
• уязвим драйвер за BYOVD атаки;
• инструменти за деактивиране на EDR защита.

В конкретния случай endpoint security решението е блокирало зареждането на malware компонентите.

Поведенческият модел на атакуващите – кратки сесии, последвани от повторни логвания дни по-късно с различни акаунти – кара експертите да предполагат, че става дума за initial access broker, който продава достъп на ransomware групи.

Атаките изглеждат като легитимен MFA трафик

Един от най-сериозните проблеми е, че VPN логовете често показват сесиите като нормален MFA процес, което затруднява откриването на компрометирането.

ReliaQuest посочва няколко важни индикатора за атака:

• sess=“CLI“ в логовете;
• Event ID 238;
• Event ID 1080;
• VPN логвания от VPS или VPN инфраструктура.

SonicWall Gen6 вече е End-of-Life

Допълнителен риск е фактът, че Gen6 SSL-VPN устройствата официално достигнаха end-of-life на 16 април 2026 г. и повече не получават security updates.

Това означава, че организациите, които продължават да използват тези устройства, остават изложени на все по-сериозен риск от компрометиране.

Какво препоръчват експертите

SonicWall препоръчва следните стъпки за защита:

• обновяване до последния firmware;
• изтриване на старата LDAP конфигурация;
• премахване на userPrincipalName от “Qualified login name”;
• премахване на локално кеширани LDAP потребители;
• reboot на firewall устройството;
• повторно създаване на LDAP конфигурацията;
• създаване на нов backup след remediation процеса.

Експертите препоръчват и миграция към по-нови SonicWall поколения, които продължават да получават поддръжка и security пачове.