Angreifer führen aktiv Brute-Force-Angriffe auf VPN-Anmeldedaten durch und umgehen die Multi-Faktor-Authentifizierung (MFA) auf **SonicWall** Gen6 SSL-VPN-Appliances. Dies ermöglicht ihnen den Einsatz von Werkzeugen, die bei Ransomware-Angriffen verwendet werden. Bei diesen Intrusionen sind Angreifer typischerweise 30 bis 60 Minuten eingeloggt, führen Netzwerk-Aufklärung durch, testen die Wiederverwendung von Anmeldedaten auf internen Systemen und loggen sich dann aus. ### Die Schwachstelle: CVE-2024-12802 **SonicWall** gab eine Sicherheitswarnung für **CVE-2024-12802** heraus und warnte, dass die bloße Installation des Firmware-Updates auf Gen6-Geräten nicht ausreicht. Eine manuelle Rekonfiguration des LDAP-Servers ist *erforderlich*, um die Schwachstelle vollständig zu beheben. Andernfalls bleibt das System anfällig für MFA-Umgehung. Forscher von **ReliaQuest** reagierten auf mehrere Intrusionen zwischen Februar und März und bewerteten diese als "mit mittlerer Sicherheit die erste Ausnutzung von **CVE-2024-12802** in freier Wildbahn, die **SonicWall**-Geräte in mehreren Umgebungen ins Visier nimmt." Die Forscher stellten fest, dass selbst gepatchte Geräte (mit aktualisierter Firmware) anfällig blieben, da die notwendigen Abhilfemaßnahmen nicht abgeschlossen wurden. Auf Gen7- und Gen8-Geräten ist ein Update auf eine neuere Firmware-Version ausreichend, um **CVE-2024-12802** vollständig zu beheben. ### Beobachtete Ausnutzungsaktivitäten **ReliaQuest** berichtet, dass in einem Vorfall der Angreifer innerhalb von nur 30 Minuten Zugriff auf das interne Netzwerk erlangte und einen Domain-joined Dateiserver erreichte. Anschließend stellten sie über RDP eine Fernverbindung her, indem sie ein gemeinsam genutztes lokales Administratorkennwort verwendeten. Der Angreifer versuchte, einen **Cobalt Strike**-Beacon (ein Post-Exploitation-Framework für Command-and-Control (C2)-Kommunikation) und einen anfälligen Treiber einzusetzen, wahrscheinlich um den Endpunktschutz mithilfe der Bring Your Own Vulnerable Driver (BYOVD)-Technik zu deaktivieren. Glücklicherweise blockierte die installierte Endpoint Detection and Response (EDR)-Lösung sowohl den Beacon als auch den Treiber. .jpg) *Quelle: ReliaQuest* Basierend auf den bewussten Logouts und anschließenden Logins des Angreifers (manchmal mit unterschiedlichen Konten) glaubt **ReliaQuest**, dass der Bedrohungsakteur ein Initial Access Broker (IAB) ist, der Zugänge an Ransomware-Gruppen verkauft. Letztes Jahr zielte die **Akira**-Ransomware-Gang auf **SonicWall** SSL VPN-Geräte ab und konnte sich erfolgreich anmelden, obwohl MFA aktiviert war. Die genaue Methode, die bei diesen Angriffen verwendet wurde, wurde jedoch zu diesem Zeitpunkt nicht bestätigt. ### Behebung von CVE-2024-12802: Abhilfemaßnahmen Die Schwachstelle **CVE-2024-12802** ergibt sich aus einer fehlenden MFA-Erzwingung für das User Principal Name (UPN)-Anmeldeformat. Dies ermöglicht Angreifern mit gültigen Anmeldedaten die direkte Authentifizierung und umgeht somit MFA. Um die Schwachstelle auf Gen6 **SonicWall**-Geräten vollständig zu beheben, befolgen Sie *nach* der Aktualisierung auf die neueste Firmware diese Schritte, wie im Advisory des Herstellers beschrieben: 1. Löschen Sie die vorhandene LDAP-Konfiguration, die userPrincipalName im Feld "Qualified login name" verwendet. 2. Entfernen Sie lokal zwischengespeicherte/aufgelistete LDAP-Benutzer. 3. Entfernen Sie die konfigurierte SSL VPN "User Domain" (wird auf LocalDomain zurückgesetzt). 4. Starten Sie die Firewall neu. 5. Erstellen Sie die LDAP-Konfiguration neu, *ohne* userPrincipalName in "Qualified login name". 6. Erstellen Sie ein frisches Backup, um die Wiederherstellung einer anfälligen LDAP-Konfiguration zu vermeiden. **ReliaQuest** hat hohe Zuversicht, dass der Angreifer durch die Ausnutzung von **CVE-2024-12802** in mehreren Sektoren und Regionen einen initialen Zugriff erlangt hat. Laut **ReliaQuest** erschienen die unbefugten Anmeldeversuche in den Logs als normale MFA-Flows, was Verteidiger potenziell in die Irre führen kann. Das Vorhandensein von `sess=”CLI”` in den Logs ist ein wichtiges Indiz für diese Angriffe und deutet auf skriptgesteuerte oder automatisierte VPN-Authentifizierung hin. Administratoren sollten dieses Signal aktiv überwachen. Weitere potenzielle Indikatoren sind die Ereignis-IDs 238 und 1080 sowie VPN-Logins, die von verdächtiger VPS/VPN-Infrastruktur stammen. Da Gen6 SSL-VPN-Appliances am 16. April 2024 das End-of-Life erreicht haben und keine Sicherheitsupdates mehr erhalten, wird dringend empfohlen, auf aktiv unterstützte Versionen zu migrieren. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs.</a></h2> <p>Automatisierte Pentesting-Tools liefern einen echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten.</p> <p>Dieser Leitfaden behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Jetzt herunterladen</a></p> </div> </div>