Des attaquants forcent activement les identifiants VPN et contournent l'authentification multifacteur (MFA) sur les appliances SSL-VPN Gen6 de **SonicWall**. Cela leur permet de déployer des outils utilisés dans les attaques par ransomware. Lors de ces intrusions, les attaquants passent généralement 30 à 60 minutes connectés, effectuant de la reconnaissance réseau, testant la réutilisation des identifiants sur les systèmes internes, avant de se déconnecter. ### La Vulnérabilité : CVE-2024-12802 **SonicWall** a publié un avis de sécurité pour la **CVE-2024-12802**, avertissant que l'installation de la mise à jour du firmware sur les appareils Gen6 n'est pas suffisante. Une reconfiguration manuelle du serveur LDAP est *requise* pour atténuer pleinement la vulnérabilité. Ne pas le faire laisse le système vulnérable au contournement de la MFA. Des chercheurs de **ReliaQuest** ont répondu à plusieurs intrusions entre février et mars, les considérant comme "avec une confiance moyenne d'être la première exploitation en conditions réelles de la **CVE-2024-12802**, ciblant les appareils **SonicWall** dans plusieurs environnements". Les chercheurs ont constaté que même les appareils corrigés (exécutant un firmware mis à jour) restaient vulnérables car les étapes de remédiation nécessaires n'avaient pas été achevées. Sur les appareils Gen7 et Gen8, la mise à jour vers une version de firmware plus récente est suffisante pour résoudre complètement la **CVE-2024-12802**. ### Activité d'Exploitation Observée **ReliaQuest** rapporte que dans un incident, l'attaquant a accédé au réseau interne et atteint un serveur de fichiers joint à un domaine en seulement 30 minutes. Il a ensuite établi une connexion à distance via RDP en utilisant un mot de passe d'administrateur local partagé. L'attaquant a tenté de déployer une balise **Cobalt Strike** (un framework post-exploitation pour la communication de commande et de contrôle (C2)) et un pilote vulnérable, probablement pour désactiver la protection des points d'extrémité en utilisant la technique Bring Your Own Vulnerable Driver (BYOVD). Heureusement, la solution de détection et de réponse des points d'extrémité (EDR) installée a bloqué à la fois la balise et le pilote. .jpg) *Source : ReliaQuest* Sur la base des déconnexions délibérées et des reconnexions ultérieures de l'attaquant (parfois avec différents comptes), **ReliaQuest** pense que l'acteur de la menace est un courtier d'accès initial (IAB) vendant l'accès à des groupes de ransomware. L'année dernière, le gang de ransomware **Akira** a ciblé les appareils SSL VPN de **SonicWall** et s'est connecté avec succès malgré l'activation de la MFA. Cependant, la méthode exacte utilisée dans ces attaques n'a pas été confirmée à l'époque. ### Résolution de la CVE-2024-12802 : Étapes d'Atténuation La vulnérabilité **CVE-2024-12802** découle d'une absence d'application de la MFA pour le format de connexion User Principal Name (UPN). Cela permet aux attaquants disposant d'identifiants valides de s'authentifier directement, contournant la MFA. Pour atténuer pleinement la vulnérabilité sur les appareils **SonicWall** Gen6, suivez ces étapes *après* la mise à jour vers le dernier firmware, comme détaillé dans l'avis du fournisseur : 1. Supprimez la configuration LDAP existante utilisant userPrincipalName dans le champ "Qualified login name". 2. Supprimez les utilisateurs LDAP mis en cache/listés localement. 3. Supprimez le "User Domain" SSL VPN configuré (revient à LocalDomain). 4. Redémarrez le pare-feu. 5. Recréez la configuration LDAP *sans* userPrincipalName dans "Qualified login name". 6. Créez une nouvelle sauvegarde pour éviter de restaurer la configuration LDAP vulnérable plus tard. **ReliaQuest** a une forte confiance que l'attaquant a obtenu un accès initial en exploitant la **CVE-2024-12802** dans plusieurs secteurs et zones géographiques. Selon **ReliaQuest**, les tentatives de connexion suspectes apparaissaient comme des flux MFA normaux dans les journaux, pouvant induire en erreur les défenseurs. La présence de `sess="CLI"` dans les journaux est un indicateur clé de ces attaques, suggérant une authentification VPN scriptée ou automatisée. Les administrateurs doivent surveiller activement ce signal. D'autres indicateurs potentiels incluent les ID d'événement 238 et 1080, ainsi que les connexions VPN provenant d'une infrastructure VPS/VPN suspecte. Étant donné que les appliances SSL-VPN Gen6 ont atteint leur fin de vie le 16 avril 2024 et ne reçoivent plus de mises à jour de sécurité, la migration vers des versions activement prises en charge est fortement recommandée. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Le fossé de validation : les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six.</a></h2> <p>Les outils de test d'intrusion automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour vérifier si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon.</p> <p>Ce guide couvre les 6 surfaces que vous devez réellement valider.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Télécharger maintenant</a></p> </div> </div>