Cyberprzestępcy znaleźli sposób na obejście MFA w urządzeniach SonicWall SSL-VPN. Luka jest aktywnie wykorzystywana w atakach powiązanych z ransomware, a sama aktualizacja firmware’u nie wystarcza, by się przed nią zabezpieczyć.
Krytyczna luka w SonicWall – MFA nie daje pełnej ochrony
W urządzeniach SonicWall Gen6 SSL-VPN wykryto poważną podatność oznaczoną jako CVE-2024-12802 (CVSS 9.1), która umożliwia atakującym obejście mechanizmu uwierzytelniania wieloskładnikowego (MFA). W praktyce oznacza to, że nawet środowiska zabezpieczone dodatkowymi metodami uwierzytelniania mogą zostać skutecznie przejęte.
Problem wynika ze sposobu obsługi różnych formatów logowania w integracji z Active Directory, a konkretnie konfiguracji LDAP. Błąd ten pozwala atakującym ominąć jeden z kluczowych elementów ochrony dostępu do sieci.
Sama aktualizacja to za mało
Choć producent udostępnił poprawkę w firmware, jej wdrożenie nie eliminuje problemu w pełni w przypadku urządzeń Gen6.
Aby skutecznie usunąć podatność, konieczne jest wykonanie sześciu dodatkowych ręcznych kroków konfiguracyjnych, które obejmują m.in. usunięcie podatnej konfiguracji LDAP. Organizacje, które ograniczyły się wyłącznie do aktualizacji systemu, nadal pozostają narażone na atak.
To szczególnie niebezpieczne, ponieważ standardowe procesy patch managementu rzadko uwzględniają weryfikację zmian konfiguracyjnych, skupiając się głównie na instalacji poprawek.
Ataki w praktyce – szybkie przejęcia i trudna detekcja
Według dostępnych informacji atakujący aktywnie wykorzystują tę lukę, prowadząc:
- ataki typu brute force na konta VPN,
- skuteczne obejście MFA,
- szybkie przemieszczanie się w sieci ofiary.
W niektórych przypadkach, po uzyskaniu dostępu do VPN, atakujący docierali do kluczowych zasobów, takich jak serwery plików, w czasie krótszym niż 30 minut.
Dodatkowym utrudnieniem jest fakt, że złośliwe próby logowania wyglądają w logach jak poprawne procesy MFA, co znacząco utrudnia ich wykrycie przez administratorów.
Urządzenia Gen6 bez wsparcia
Sytuację dodatkowo komplikuje fakt, że urządzenia SonicWall Gen6 osiągnęły status end-of-life w kwietniu 2026 roku, co oznacza brak dalszych aktualizacji bezpieczeństwa. Administratorzy korzystający z tych rozwiązań powinni w pierwszej kolejności dokładnie zweryfikować konfigurację LDAP oraz upewnić się, że wykonano wszystkie wymagane kroki naprawcze związane z usunięciem podatności. Warto również rozważyć migrację do nowszych platform, które nadal są objęte wsparciem producenta i otrzymują bieżące aktualizacje zabezpieczeń.
W przypadku urządzeń Gen7 i Gen8 sytuacja jest znacznie prostsza – zastosowanie aktualizacji firmware’u jest wystarczające i nie wymaga dodatkowych ręcznych działań konfiguracyjnych.
CVE-2024-12802 pokazuje, że samo wdrożenie aktualizacji nie zawsze oznacza pełne bezpieczeństwo. W tym przypadku kluczowe znaczenie mają dodatkowe działania konfiguracyjne, których pominięcie może prowadzić do poważnych naruszeń.
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
