Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери ја заобиколиле MFA заштитата на SonicWall VPN уреди поради нецелосно инсталирани надоградби

Објавено: 21.05.2026

Заканувачки актери насилно пробивале VPN акредитиви (brute-force напади) и ја заобиколиле multi-factor authentication (MFA) заштитата на SonicWall Gen6 SSL-VPN уредите со цел да распоредат алатки што се користат во ransomware напади.

За време на упадите, хакерот трошел помеѓу 30 и 60 минути за да се најави, да изврши мрежно извидување, да тестира повторна употреба на акредитиви на внатрешни системи и потоа да се одјави.

SonicWall предупреди во безбедносно известување за CVE-2024-12802 дека само инсталирање на firmware ажурирањето на Gen6 уредите не е доволно за целосно ублажување на ранливоста и дека е потребна рачна реконфигурација на LDAP серверот. Доколку тоа не се направи, останува можноста за заобиколување на MFA заштитата.

Истражувачи од сајбер-безбедносната компанија ReliaQuest реагирале на повеќе упади помеѓу февруари и март и процениле „со средно ниво на сигурност дека станува збор за првото реално искористување на CVE-2024-12802 во дивина, насочено кон SonicWall уреди во повеќе различни средини.“

Истражувачите забележале дека во средините што ги анализирале, уредите изгледале како да се закрпени бидејќи користеле ажуриран firmware, но сепак останале ранливи затоа што не биле завршени сите потребни чекори за санација.

Кај Gen7 и Gen8 уредите, едноставното ажурирање на понова firmware верзија е доволно за целосно да се отстрани ризикот од искористување на CVE-2024-12802.

Активност при експлоатација

ReliaQuest соопшти дека во еден инцидент хакерот успеал да добие пристап до внатрешната мрежа и да стигне до file server поврзан со доменот за само половина час. Потоа воспоставил далечинска врска преку Remote Desktop Protocol (RDP) користејќи споделена локална администраторска лозинка.

Истражувачите откриле дека напаѓачот се обидел да распореди Cobalt Strike beacon — framework за пост-експлоатација што се користи за command-and-control (C2) комуникација — како и ранлив драјвер, најверојатно со цел да ја оневозможи endpoint заштитата користејќи ја техниката Bring Your Own Vulnerable Driver (BYOVD).

Сепак, инсталираното endpoint detection and response (EDR) решение успеало да го блокира beacon-от и вчитувањето на драјверот.

Забележан тек на нападот

Врз основа на намерното одјавување и повторно најавување неколку дена подоцна, понекогаш користејќи различни сметки, истражувачите веруваат дека заканувачкиот актер е посредник кој продава почетен пристап на други хакерски групи.

Минатата година ransomware групата Akira ги таргетираше SonicWall SSL VPN уредите и успеала да се најави и покрај тоа што MFA била овозможена на сметките, но методот тогаш не бил потврден.

Решавање на CVE-2024-12802

Ранливоста CVE-2024-12802 е предизвикана од недостиг на MFA enforcement за UPN форматот за најава, што му овозможува на напаѓач со валидни акредитиви директно да се автентицира и да ја заобиколи MFA заштитата.

Gen6 SonicWall уредите мора да се ажурираат со најнов firmware, а потоа да се следат чекорите за санација наведени во известувањето на производителот:

  • Избришете ја постојната LDAP конфигурација што користи userPrincipalName во полето „Qualified login name“
  • Отстранете ги локално кешираните/листирани LDAP корисници
  • Отстранете го конфигурираниот SSL VPN „User Domain“ (ќе се врати на LocalDomain)
  • Рестартирајте го firewall уредот
  • Повторно креирајте ја LDAP конфигурацијата без userPrincipalName во „Qualified login name“
  • Направете нов backup за да избегнете подоцнежно враќање на ранливата LDAP конфигурација

Истражувачите имаат високо ниво на сигурност дека заканувачкиот актер зад анализираните упади добил почетен пристап преку искористување на CVE-2024-12802 „во повеќе сектори и географски региони“.

Според ReliaQuest, сомнителните обиди за најава забележани во истражените инциденти и понатаму изгледале како нормален MFA процес во логовите, што ги навело одбранбените тимови да веруваат дека MFA функционирала и кога всушност била заобиколена.

Истражувачите велат дека сигналот sess="CLI" е клучен индикатор за овие напади, што укажува на скриптирана или автоматизирана VPN автентикација, и препорачуваат администраторите активно да го бараат.

Други силни индикатори се event ID 238 и 1080, како и VPN најави од сомнителна VPS/VPN инфраструктура.

Со оглед на тоа што Gen6 SSL-VPN уредите достигнаа end-of-life статус на 16 април оваа година и повеќе не добиваат безбедносни ажурирања, генералната препорака е миграција кон понови и активно поддржани верзии.

Извори:

  • Bleeping Computer – Hackers bypass SonicWall VPN MFA due to incomplete patching Bleeping Computer