Los atacantes están realizando ataques de fuerza bruta contra credenciales de VPN y evadiendo la autenticación multifactor (MFA) en los appliances SSL-VPN Gen6 de **SonicWall**. Esto les permite desplegar herramientas utilizadas en ataques de ransomware. Durante estas intrusiones, los atacantes suelen pasar entre 30 y 60 minutos conectados, realizando reconocimiento de red, probando la reutilización de credenciales en sistemas internos, antes de desconectarse. ### La Vulnerabilidad: CVE-2024-12802 **SonicWall** emitió un aviso de seguridad para **CVE-2024-12802**, advirtiendo que simplemente instalar la actualización de firmware en dispositivos Gen6 no es suficiente. Se requiere una reconfiguración manual del servidor LDAP para mitigar completamente la vulnerabilidad. No hacerlo deja al sistema vulnerable a la evasión de MFA. Investigadores de **ReliaQuest** respondieron a múltiples intrusiones entre febrero y marzo, evaluándolas como "con mediana confianza de ser la primera explotación en la naturaleza de **CVE-2024-12802**, apuntando a dispositivos **SonicWall** en múltiples entornos". Los investigadores descubrieron que incluso los dispositivos parcheados (con firmware actualizado) permanecían vulnerables porque los pasos de remediación necesarios no se habían completado. En los dispositivos Gen7 y Gen8, actualizar a una versión de firmware más reciente es suficiente para abordar completamente **CVE-2024-12802**. ### Actividad de Explotación Observada **ReliaQuest** informa que en un incidente, el atacante accedió a la red interna y llegó a un servidor de archivos unido a un dominio en solo 30 minutos. Luego estableció una conexión remota a través de RDP utilizando una contraseña de administrador local compartida. El atacante intentó desplegar un beacon de **Cobalt Strike** (un framework de post-explotación para comunicación de command-and-control (C2)) y un driver vulnerable, probablemente para deshabilitar la protección de endpoints utilizando la técnica Bring Your Own Vulnerable Driver (BYOVD). Afortunadamente, la solución de detección y respuesta de endpoints (EDR) instalada bloqueó tanto el beacon como el driver. .jpg) *Fuente: ReliaQuest* Basándose en los cierres de sesión deliberados y los inicios de sesión posteriores del atacante (a veces usando diferentes cuentas), **ReliaQuest** cree que el actor de amenazas es un corredor de acceso inicial (IAB) que vende acceso a grupos de ransomware. El año pasado, la banda de ransomware **Akira** apuntó a dispositivos SSL VPN de **SonicWall** y logró iniciar sesión a pesar de que la MFA estaba habilitada. Sin embargo, el método exacto utilizado en esos ataques no se confirmó en ese momento. ### Abordando CVE-2024-12802: Pasos de Mitigación La vulnerabilidad **CVE-2024-12802** se origina en una falta de aplicación de MFA para el formato de inicio de sesión User Principal Name (UPN). Esto permite a los atacantes con credenciales válidas autenticarse directamente, evadiendo la MFA. Para mitigar completamente la vulnerabilidad en los dispositivos **SonicWall** Gen6, siga estos pasos *después* de actualizar al último firmware, como se detalla en el aviso del proveedor: 1. Elimine la configuración LDAP existente que utiliza userPrincipalName en el campo “Qualified login name”. 2. Elimine los usuarios LDAP cacheados/listados localmente. 3. Elimine el “User Domain” de SSL VPN configurado (vuelve a LocalDomain). 4. Reinicie el firewall. 5. Recree la configuración LDAP *sin* userPrincipalName en “Qualified login name”. 6. Cree una copia de seguridad nueva para evitar restaurar la configuración LDAP vulnerable más adelante. **ReliaQuest** tiene alta confianza en que el atacante obtuvo acceso inicial explotando **CVE-2024-12802** en múltiples sectores y geografías. Según **ReliaQuest**, los intentos de inicio de sesión no autorizados aparecieron como flujos de MFA normales en los logs, lo que podría inducir a error a los defensores. La presencia de `sess=”CLI”` en los logs es un indicador clave de estos ataques, sugiriendo autenticación VPN con scripts o automatizada. Los administradores deben monitorear activamente esta señal. Otros indicadores potenciales incluyen los IDs de evento 238 y 1080, y los inicios de sesión VPN originados desde infraestructura sospechosa de VPS/VPN. Dado que los appliances SSL-VPN Gen6 llegaron al fin de su vida útil el 16 de abril de 2024 y ya no reciben actualizaciones de seguridad, se recomienda encarecidamente migrar a versiones activamente soportadas. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2> <p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p> <p>This guide covers the 6 surfaces you actually need to validate.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p> </div> </div>