PT-2025-1026 · Sonicos · Sonicos
Publicado
2025-01-07
·
Atualizado
2026-06-12
·
CVE-2024-12802
CVSS v3.1
9.4
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
SonicWall SSL-VPN Gen6 (versões afetadas não especificadas)
SonicWall SSL-VPN Gen7 (versões afetadas não especificadas)
SonicWall SSL-VPN Gen8 (versões afetadas não especificadas)
Description
Existe um bypass de autenticação na implementação de SSL-VPN do SonicOS, especificamente afetando a integração com o Microsoft Active Directory. O problema surge do processamento separado dos nomes de conta User Principal Name (UPN) e Security Account Manager (SAM), o que permite que a autenticação de múltiplos fatores (MFA) seja configurada independentemente para cada método de login. Atacantes podem ignorar o MFA utilizando o caminho de autenticação UPN com credenciais válidas, reduzindo a segurança para autenticação de fator único. Esta falha foi explorada ativamente por corretores de acesso inicial e grupos de ransomware, como o Akira, para invadir redes internas. Em incidentes observados, atacantes utilizaram ferramentas de brute-force automatizadas para comprometer contas e realizaram movimentação lateral para servidores de arquivos integrados ao domínio em 30 a 40 minutos. Indicadores técnicos de exploração incluem a presença de
sess='CLI' nos logs de autenticação de VPN, sugerindo logins automatizados ou via script, bem como os IDs de Evento 238 e 1080.Recommendations
Para dispositivos Gen6, atualize o firmware para a versão mais recente e execute as seis etapas manuais de reconfiguração de LDAP necessárias, incluindo a remoção da configuração LDAP existente que utiliza
userPrincipalName no campo Qualified login name, a limpeza de usuários LDAP armazenados, a remoção do User Domain do SSL VPN, a reinicialização do firewall, a recriação da configuração LDAP sem userPrincipalName e a criação de um novo backup.
Para dispositivos Gen7 e Gen8, atualize o firmware para a versão mais recente.
Como mitigação temporária, monitore os logs de VPN em busca de sess='CLI' e conexões suspeitas provenientes de infraestruturas de VPS/VPN.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sonicos