PT-2025-1026 · Sonicos · Sonicos

Publicado

2025-01-07

·

Atualizado

2026-06-12

·

CVE-2024-12802

CVSS v3.1

9.4

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas SonicWall SSL-VPN Gen6 (versões afetadas não especificadas) SonicWall SSL-VPN Gen7 (versões afetadas não especificadas) SonicWall SSL-VPN Gen8 (versões afetadas não especificadas)
Description Existe um bypass de autenticação na implementação de SSL-VPN do SonicOS, especificamente afetando a integração com o Microsoft Active Directory. O problema surge do processamento separado dos nomes de conta User Principal Name (UPN) e Security Account Manager (SAM), o que permite que a autenticação de múltiplos fatores (MFA) seja configurada independentemente para cada método de login. Atacantes podem ignorar o MFA utilizando o caminho de autenticação UPN com credenciais válidas, reduzindo a segurança para autenticação de fator único. Esta falha foi explorada ativamente por corretores de acesso inicial e grupos de ransomware, como o Akira, para invadir redes internas. Em incidentes observados, atacantes utilizaram ferramentas de brute-force automatizadas para comprometer contas e realizaram movimentação lateral para servidores de arquivos integrados ao domínio em 30 a 40 minutos. Indicadores técnicos de exploração incluem a presença de sess='CLI' nos logs de autenticação de VPN, sugerindo logins automatizados ou via script, bem como os IDs de Evento 238 e 1080.
Recommendations Para dispositivos Gen6, atualize o firmware para a versão mais recente e execute as seis etapas manuais de reconfiguração de LDAP necessárias, incluindo a remoção da configuração LDAP existente que utiliza userPrincipalName no campo Qualified login name, a limpeza de usuários LDAP armazenados, a remoção do User Domain do SSL VPN, a reinicialização do firewall, a recriação da configuração LDAP sem userPrincipalName e a criação de um novo backup. Para dispositivos Gen7 e Gen8, atualize o firmware para a versão mais recente. Como mitigação temporária, monitore os logs de VPN em busca de sess='CLI' e conexões suspeitas provenientes de infraestruturas de VPS/VPN.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2025-00223
CVE-2024-12802

Produtos afetados

Sonicos