Хакеры обходят многофакторную аутентификацию на VPN SonicWall из-за неполного применения патча

Злоумышленники методом перебора взломали VPN-учётные данные и обошли многофакторную аутентификацию (MFA) на устройствах SonicWall Gen6 SSL-VPN для развёртывания инструментов, используемых в атаках с применением программ-вымогателей.

В чём проблема?

Уязвимость CVE-2024-12802 связана с отсутствием принудительного применения MFA для формата входа UPN. Это позволяет атакующему с действующими учётными данными напрямую пройти аутентификацию, полностью минуя MFA.

Ключевая проблема заключается в том, что установка обновления прошивки на устройствах Gen6 сама по себе не устраняет уязвимость. После обновления необходима ручная перенастройка LDAP-сервера. Без этого шага MFA по-прежнему можно обойти. На устройствах Gen7 и Gen8 достаточно обновить прошивку.

Как проходили атаки?

Компания ReliaQuest расследовала несколько вторжений в период с февраля по март 2026 года и оценила их как первые задокументированные случаи эксплуатации CVE-2024-12802 в реальных условиях.

В одном из инцидентов хакер за 30 минут:

• получил доступ к внутренней сети
• добрался до файлового сервера, включённого в домен
• установил удалённое подключение через RDP с использованием общего пароля локального администратора
• попытался развернуть Cobalt Strike beacon и уязвимый драйвер для отключения защиты конечных точек

Установленное решение EDR заблокировало как beacon, так и загрузку драйвера. Исследователи также отметили, что атакующий намеренно выходил из системы и возвращался спустя несколько дней, иногда используя разные аккаунты. По их оценке, злоумышленник является брокером первоначального доступа, продающим его хакерским группировкам.

Как злоумышленники оставались незамеченными?

Вредоносные попытки входа в систему по-прежнему отображались в журналах как обычный процесс MFA — это заставляло защитников считать, что многофакторная аутентификация работает, даже когда она фактически не срабатывала.

— ReliaQuest

Исследователи выделили ключевые признаки атаки, на которые стоит обращать внимание:

• Сигнал sess=”CLI” в логах — указывает на скриптовую или автоматизированную VPN-аутентификацию
• Идентификаторы событий 238 и 1080
• VPN-входы с подозрительной VPS/VPN-инфраструктуры

Как устранить уязвимость на Gen6?

Для полного устранения CVE-2024-12802 на устройствах SonicWall Gen6 недостаточно просто обновить прошивку. Необходимо выполнить следующие шаги:

• Удалить существующую конфигурацию LDAP, использующую userPrincipalName в поле «Qualified login name»
• Удалить локально кэшированных пользователей LDAP
• Удалить настроенный SSL VPN «User Domain»
• Перезагрузить межсетевой экран
• Пересоздать конфигурацию LDAP без userPrincipalName
• Создать новую резервную копию, чтобы избежать восстановления уязвимой конфигурации

Важно: устройства SonicWall Gen6 SSL-VPN достигли конца жизненного цикла 16 апреля 2026 года и больше не получают обновления безопасности. Рекомендуется как можно скорее перейти на более современные и активно поддерживаемые версии.