Hackers hebben multi-factor authenticatie (MFA) op SonicWall Gen6 SSL-VPN-apparaten weten te omzeilen door onvolledige patching, waardoor zij met brute force VPN-credentials konden binnendringen en ransomware-tools konden inzetten. Tijdens de aanvallen duurde het tussen de 30 en 60 minuten om in te loggen, netwerkverkenning uit te voeren, hergebruik van credentials op interne systemen te testen en weer uit te loggen.

SonicWall waarschuwde in een security advisory voor CVE-2024-12802 dat het enkel installeren van de firmware-update op Gen6-apparaten niet voldoende is om de kwetsbaarheid volledig te verhelpen. Een handmatige herconfiguratie van de LDAP-server is noodzakelijk. Zonder deze stappen blijft het mogelijk om MFA te omzeilen.

Onderzoekers van cybersecuritybedrijf ReliaQuest reageerden op meerdere inbraken tussen februari en maart en beoordeelden dit als de eerste bekende exploitatie in het wild van CVE-2024-12802, waarbij SonicWall-apparaten in diverse omgevingen werden aangevallen. Hoewel de apparaten voorzien waren van de nieuwste firmware, bleken ze kwetsbaar doordat de noodzakelijke aanvullende configuratiestappen niet waren uitgevoerd.

Bij Gen7- en Gen8-apparaten volstaat het updaten van de firmware om het risico volledig te elimineren. In één incident wist een aanvaller binnen een half uur toegang te krijgen tot het interne netwerk en een domeingebonden fileserver te bereiken. Vervolgens werd een remote verbinding opgezet via RDP met een gedeeld lokaal administratorwachtwoord. De aanvaller probeerde een Cobalt Strike beacon te installeren, een post-exploitatie framework voor command-and-control communicatie, en een kwetsbare driver om endpointbescherming uit te schakelen via de Bring Your Own Vulnerable Driver (BYOVD) techniek. De aanwezige endpoint detection en response (EDR) oplossing blokkeerde deze pogingen echter.

De onderzoekers vermoeden dat de aanvaller een broker is die initiële toegang verkoopt aan andere dreigingsgroepen, gezien het patroon van uitloggen en later opnieuw inloggen met verschillende accounts. Vorig jaar richtte de Akira ransomware-groep zich ook op SonicWall SSL VPN-apparaten en wist in te loggen ondanks ingeschakelde MFA, maar de gebruikte methode werd toen niet bevestigd.

De kwetsbaarheid CVE-2024-12802 ontstaat doordat MFA niet wordt afgedwongen bij het gebruik van het UPN-loginformaat, waardoor een aanvaller met geldige credentials direct kan authenticeren en MFA kan omzeilen. Voor Gen6-apparaten geldt dat na het updaten van de firmware de volgende stappen moeten worden uitgevoerd: het verwijderen van de bestaande LDAP-configuratie met userPrincipalName in het veld “Qualified login name”, het verwijderen van lokaal gecachte LDAP-gebruikers, het verwijderen van de geconfigureerde SSL VPN “User Domain” (waardoor deze terugvalt naar LocalDomain), het herstarten van de firewall, het opnieuw aanmaken van de LDAP-configuratie zonder userPrincipalName in “Qualified login name” en het maken van een nieuwe back-up om te voorkomen dat een kwetsbare configuratie wordt hersteld.

ReliaQuest heeft grote zekerheid dat de onderzochte aanvallen via deze kwetsbaarheid plaatsvonden in meerdere sectoren en regio’s. Volgens de onderzoekers lijken de mislukte inlogpogingen in de logs op een normale MFA-stroom, waardoor verdedigers ten onrechte denken dat MFA correct functioneert. Een belangrijk indicator voor deze aanvallen is het sess="CLI" signaal, wat wijst op gescripte of geautomatiseerde VPN-authenticatie. Daarnaast zijn event ID’s 238 en 1080 en VPN-logins vanaf verdachte VPS- of VPN-infrastructuur sterke signalen waar beheerders op moeten letten.

Aangezien Gen6 SSL-VPN-apparaten sinds 16 april dit jaar end-of-life zijn en geen updates meer ontvangen, is het extra belangrijk om de juiste configuratiestappen te volgen om misbruik te voorkomen.