Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Podatność CVE-2024-12802 dotyczy mechanizmu uwierzytelniania w SonicWall SSL-VPN zintegrowanym z Microsoft Active Directory. W określonych scenariuszach pozwala ona na obejście wymuszania uwierzytelniania wieloskładnikowego, mimo że organizacja może być przekonana, iż dostęp zdalny pozostaje właściwie zabezpieczony.
Największe zagrożenie wynika z faktu, że samo wdrożenie aktualizacji firmware nie zawsze oznacza pełne usunięcie ryzyka. W części środowisk, zwłaszcza opartych na urządzeniach Gen6, konieczne było również wykonanie dodatkowych zmian konfiguracyjnych w obszarze LDAP.
W skrócie
Atakujący wykorzystywali poprawne dane logowania do VPN i omijali MFA na wybranych urządzeniach SonicWall SSL-VPN. Analizy incydentów wskazują, że problemem była nie tylko sama podatność, ale również niepełna remediacja po stronie organizacji.
- obejście MFA następowało mimo obecności aktualizacji firmware w części środowisk,
- źródłem ryzyka pozostawała wcześniejsza konfiguracja LDAP,
- po uzyskaniu dostępu napastnicy prowadzili rekonesans i próbowali rozszerzyć kontrolę nad infrastrukturą,
- charakter działań sugerował aktywność podmiotów zajmujących się pozyskiwaniem wstępnego dostępu do sieci ofiar.
Kontekst / historia
CVE-2024-12802 została opisana jako luka umożliwiająca obejście MFA w SonicWall SSL-VPN przy integracji z Microsoft Active Directory. Problem wynika z rozdzielnej obsługi różnych formatów nazw użytkownika, w szczególności userPrincipalName oraz SAM account name, co może prowadzić do niespójnego egzekwowania polityki uwierzytelniania.
W analizowanych incydentach odnotowano włamania do środowisk z różnych sektorów. Badacze ocenili, że mogły to być jedne z pierwszych udokumentowanych przypadków aktywnego wykorzystania tej podatności w rzeczywistych operacjach. Schemat działania napastników wskazywał na model charakterystyczny dla initial access brokerów, czyli grup specjalizujących się w przejmowaniu i dalszej odsprzedaży dostępu.
Szczególne znaczenie ma tu kontekst platform Gen6. W ich przypadku remediacja wymagała nie tylko aktualizacji oprogramowania, ale także ręcznej rekonfiguracji ustawień LDAP. Brak tego etapu oznaczał, że urządzenie mogło nadal pozostawać podatne mimo formalnie zainstalowanej poprawki.
Analiza techniczna
Techniczny rdzeń problemu sprowadza się do niespójnej obsługi tożsamości użytkownika podczas logowania do SSL-VPN. Jeżeli środowisko wykorzystuje konfigurację opartą na userPrincipalName w polu kwalifikowanej nazwy logowania, może dojść do sytuacji, w której MFA nie będzie egzekwowane jednakowo dla alternatywnych metod identyfikacji tego samego konta.
W praktyce oznacza to, że atakujący posiadający prawidłowy login i hasło może uzyskać dostęp ścieżką, która nie wymusza drugiego składnika zgodnie z oczekiwaniami administratora. To szczególnie niebezpieczne w organizacjach, które traktują MFA jako główną warstwę ochrony dla dostępu zdalnego.
Po uzyskaniu dostępu przez VPN napastnicy prowadzili podstawowy rekonesans sieci, testowali ponowne użycie poświadczeń i podejmowali próby dalszego ruchu bocznego. W części przypadków zaobserwowano próby użycia narzędzi post-exploitation oraz technik mogących osłabić działanie rozwiązań ochronnych na stacjach i serwerach.
Dodatkowym problemem było to, że niektóre nieautoryzowane logowania mogły wyglądać w dziennikach jak prawidłowo przeprowadzony proces MFA. To utrudniało wykrycie incydentu i mogło prowadzić do błędnej oceny, że mechanizm ochronny działa zgodnie z założeniami.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją CVE-2024-12802 jest fałszywe poczucie bezpieczeństwa. Organizacja może sądzić, że dostęp VPN jest skutecznie chroniony przez MFA, podczas gdy część ścieżek logowania pozostaje poza realnym wymuszaniem drugiego składnika.
Z perspektywy operacyjnej skutki mogą być bardzo poważne. Uzyskanie dostępu do VPN bez skutecznego MFA otwiera drogę do rekonesansu, ruchu bocznego, przejmowania kolejnych hostów oraz przygotowania środowiska pod ataki ransomware. Nawet jeśli finalny etap ataku nie zostanie uruchomiony od razu, sam dostęp może zostać zachowany, sprzedany lub wykorzystany później przez inną grupę.
Dodatkowe ryzyko dotyczy organizacji utrzymujących starsze urządzenia brzegowe. Koniec wsparcia dla platformy oznacza rosnące trudności z dalszym zabezpieczaniem infrastruktury i większą ekspozycję na kolejne kampanie opportunistyczne.
Rekomendacje
Organizacje korzystające z SonicWall SSL-VPN powinny zweryfikować, czy remediacja podatności została przeprowadzona w pełnym zakresie. W przypadku urządzeń Gen6 kluczowe jest nie tylko wdrożenie aktualnego firmware, ale również wykonanie pełnej procedury rekonfiguracji LDAP zgodnie z zaleceniami producenta.
W praktyce oznacza to potrzebę przeglądu istniejącej konfiguracji, usunięcia starych ustawień mogących utrzymywać podatny stan oraz potwierdzenia, że MFA jest faktycznie egzekwowane dla wszystkich wariantów logowania użytkowników. Sama deklaratywna obecność drugiego składnika nie jest wystarczającym dowodem skutecznej ochrony.
- przeprowadzić audyt konfiguracji LDAP i ustawień SSL-VPN,
- sprawdzić logi pod kątem nietypowych sesji i zautomatyzowanych prób logowania,
- korelować zdarzenia VPN z aktywnością RDP, SMB, LDAP i alertami EDR,
- wyeliminować współdzielone lokalne hasła administracyjne,
- ograniczyć dostęp VPN do konkretnych grup i zaufanych źródeł,
- przyspieszyć migrację z niewspieranych platform Gen6 do nowszych generacji.
Podsumowanie
Przypadek CVE-2024-12802 pokazuje, że skuteczność remediacji nie zależy wyłącznie od zainstalowania poprawki. Równie istotne są stan konfiguracji, zgodność zmian z zaleceniami producenta oraz praktyczna walidacja tego, czy MFA rzeczywiście działa w każdym scenariuszu logowania.
Dla zespołów bezpieczeństwa to ważne ostrzeżenie: częściowo wdrożona poprawka może pozostawić organizację niemal tak samo narażoną jak całkowity brak remediacji. W środowiskach SonicWall SSL-VPN priorytetem powinno być dziś potwierdzenie pełnego usunięcia ryzyka oraz aktywne poszukiwanie śladów wcześniejszego obejścia MFA.
Źródła
- https://www.bleepingcomputer.com/news/security/hackers-bypass-sonicwall-vpn-mfa-due-to-incomplete-patching/
- https://www.sonicwall.com/support/notices/ssl-vpn-mfa-bypass-cve-2024-12802/kA1VN0000000RBd0AM
- https://vulnerability.circl.lu/vuln/CVE-2024-12802
- https://www.sentinelone.com/vulnerability-database/cve-2024-12802/