Hackers bypass SonicWall VPN MFA due to incomplete patching
Mis à jour :
Contournement de l’authentification MFA sur SonicWall VPN
Des cyberattaquants exploitent une vulnérabilité dans les appliances SonicWall Gen6 pour contourner l’authentification multifacteur (MFA) et obtenir un accès initial aux réseaux internes. Les intrusions observées suggèrent le recours à des courtiers d’accès initial visant à déployer des ransomwares ou des outils de persistance (Cobalt Strike, techniques BYOVD). Une particularité inquiétante de cette attaque est que les journaux de connexion affichent un flux MFA normal, masquant ainsi le succès du contournement.
Points clés :
- Vulnérabilité critique : La faille CVE-2024-12802 permet aux attaquants de contourner le MFA en utilisant le format de connexion UPN (User Principal Name).
- Piège de la mise à jour : Sur les appareils Gen6, l’installation du firmware ne suffit pas. Une reconfiguration manuelle du serveur LDAP est impérative pour neutraliser la menace.
- Indicateurs de compromission : Surveiller les journaux pour le signal
sess=”CLI”(indiquant une authentification automatisée), les ID d’événement 238 et 1080, ainsi que les connexions provenant d’infrastructures VPN/VPS suspectes.
Vulnérabilités :
- CVE-2024-12802 : Défaut d’application du MFA lors de l’utilisation du format UPN pour l’authentification.
Recommandations :
- Remédiation Gen6 : Appliquer le firmware, puis supprimer et recréer manuellement la configuration LDAP en évitant l’utilisation du champ “userPrincipalName” (se référer à l’avis officiel de SonicWall pour les étapes détaillées).
- Mise à jour Gen7/Gen8 : La simple mise à jour du firmware suffit pour ces modèles.
- Obsolescence : Les appareils Gen6 ayant atteint leur fin de vie (End-of-Life) en avril 2024, leur remplacement par des équipements supportés est vivement préconisé.
- Audit : Examiner les journaux d’accès VPN à la recherche de comportements automatisés et vérifier la présence de privilèges d’administrateur local partagés sur les serveurs internes.