Atacantes estão ativamente realizando brute-force de credenciais de VPN e contornando a autenticação multifator (MFA) em appliances SSL-VPN **SonicWall** Gen6. Isso permite que eles implantem ferramentas usadas em ataques de ransomware. Durante essas intrusões, os atacantes geralmente passam de 30 a 60 minutos logados, realizando reconhecimento de rede, testando a reutilização de credenciais em sistemas internos, antes de se desconectarem. ### A Vulnerabilidade: CVE-2024-12802 A **SonicWall** emitiu um aviso de segurança para a **CVE-2024-12802**, alertando que simplesmente instalar a atualização de firmware em dispositivos Gen6 não é suficiente. Uma reconfiguração manual do servidor LDAP é *necessária* para mitigar completamente a vulnerabilidade. Falhar em fazer isso deixa o sistema vulnerável ao bypass de MFA. Pesquisadores da **ReliaQuest** responderam a múltiplas intrusões entre fevereiro e março, avaliando-as como "com média confiança de serem a primeira exploração em campo da **CVE-2024-12802**, visando dispositivos **SonicWall** em múltiplos ambientes." Os pesquisadores descobriram que mesmo dispositivos com patch (executando firmware atualizado) permaneceram vulneráveis porque as etapas de remediação necessárias não foram concluídas. Em dispositivos Gen7 e Gen8, a atualização para uma versão de firmware mais recente é suficiente para resolver completamente a **CVE-2024-12802**. ### Atividade de Exploração Observada A **ReliaQuest** relata que em um incidente, o atacante obteve acesso à rede interna e alcançou um servidor de arquivos ingressado no domínio em apenas 30 minutos. Em seguida, estabeleceram uma conexão remota via RDP usando uma senha de administrador local compartilhada. O atacante tentou implantar um beacon do **Cobalt Strike** (um framework de pós-exploração para comunicação de comando e controle (C2)) e um driver vulnerável, provavelmente para desabilitar a proteção de endpoint usando a técnica Bring Your Own Vulnerable Driver (BYOVD). Felizmente, a solução de detecção e resposta de endpoint (EDR) instalada bloqueou tanto o beacon quanto o driver. .jpg) *Fonte: ReliaQuest* Com base nos logouts deliberados e logins subsequentes do atacante (às vezes usando contas diferentes), a **ReliaQuest** acredita que o ator de ameaça é um corretor de acesso inicial (IAB) que vende acesso a grupos de ransomware. No ano passado, a gangue de ransomware **Akira** visou dispositivos SSL VPN **SonicWall** e conseguiu logar com sucesso, apesar da MFA estar habilitada. No entanto, o método exato usado nesses ataques não foi confirmado na época. ### Abordando a CVE-2024-12802: Passos de Mitigação A vulnerabilidade **CVE-2024-12802** decorre de uma aplicação de MFA ausente para o formato de login User Principal Name (UPN). Isso permite que atacantes com credenciais válidas se autentiquem diretamente, contornando a MFA. Para mitigar completamente a vulnerabilidade em dispositivos **SonicWall** Gen6, siga estas etapas *após* atualizar para o firmware mais recente, conforme detalhado no aviso do fornecedor: 1. Exclua a configuração LDAP existente usando userPrincipalName no campo “Qualified login name”. 2. Remova usuários LDAP cacheados/listados localmente. 3. Remova o “User Domain” configurado para SSL VPN (reverte para LocalDomain). 4. Reinicie o firewall. 5. Recrie a configuração LDAP *sem* userPrincipalName em “Qualified login name”. 6. Crie um novo backup para evitar restaurar a configuração LDAP vulnerável posteriormente. A **ReliaQuest** tem alta confiança de que o atacante obteve acesso inicial explorando a **CVE-2024-12802** em múltiplos setores e geografias. De acordo com a **ReliaQuest**, as tentativas de login maliciosas apareceram como fluxos de MFA normais nos logs, potencialmente enganando os defensores. A presença de `sess=”CLI”` nos logs é um indicador chave desses ataques, sugerindo autenticação VPN scriptada ou automatizada. Os administradores devem monitorar ativamente por este sinal. Outros indicadores potenciais incluem os IDs de evento 238 e 1080, e logins VPN originados de infraestrutura suspeita de VPS/VPN. Dado que os appliances SSL-VPN Gen6 atingiram o fim de vida em 16 de abril de 2024 e não recebem mais atualizações de segurança, a migração para versões ativamente suportadas é fortemente recomendada. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2> <p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p> <p>This guide covers the 6 surfaces you actually need to validate.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p> </div> </div>