- 27,496
- 46
- 8 Ноя 2022
Обновление прошивки больше не гарантирует защиту от взлома.
Специалисты ReliaQuest выяснили , что злоумышленники взламывали уже обновленные устройства SonicWall SSL <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, потому что одной новой версии прошивки оказалось недостаточно. На некоторых моделях администраторы должны вручную изменить настройки, иначе устройство выглядит защищенным, но остается уязвимым.
По данным ReliaQuest, атаки на CVE-2024-12802 (оценка по CVSS: 9.4) затронули несколько организаций в феврале и марте 2026 года. Специалисты считают, что перед ними, с умеренной степенью уверенности, первые известные случаи эксплуатации уязвимости в реальных атаках. Проблема позволяет обойти многофакторную аутентификацию на устройствах SonicWall SSL VPN и фактически сводит защиту к одному паролю.
Уязвимость раскрыли в начале 2025 года. SonicWall выпустила исправление, но для устройств шестого поколения, Gen6, обновления прошивки недостаточно. Администраторам нужно выполнить еще шесть ручных шагов, связанных с перенастройкой LDAP. Без этих действий старая конфигурация сохраняется, а злоумышленники могут использовать формат имени пользователя, через который многофакторная аутентификация не срабатывает как надо.
Проблема особенно опасна тем, что проверка проходит почти незаметно. В журналах SonicWall специалисты видели запрос одноразового пароля, то есть многофакторная аутентификация была включена. При этом вход все равно завершался успешно без ввода такого пароля. Для защитников такой вход выглядел как обычная авторизация легитимного пользователя.
В атаках злоумышленники подбирали учетные данные к VPN с помощью автоматизированных инструментов. В одном случае им хватило всего 13 попыток, чтобы найти рабочую пару логина и пароля. После входа они быстро проверяли внутреннюю сеть, пробовали те же учетные данные на других системах и иногда выходили через 30-60 минут, не оставляя явных следов взлома.
В одном из расследованных инцидентов атака развивалась гораздо быстрее. Примерно через 30 минут после входа через VPN злоумышленник подключился к файловому серверу по протоколу удаленного рабочего стола, используя общий пароль локального администратора. Затем он попытался запустить маяк Cobalt Strike и применить уязвимый подписанный драйвер, чтобы отключить защиту на конечной точке. Защитное средство заблокировало обе попытки.
После блокировки злоумышленник переключился на ручной поиск файлов через «Блокнот». Такой прием может не вызвать тревоги, потому что открытие документов на файловом сервере выглядит как обычная работа пользователя. На подобных серверах часто хранятся сценарии, конфигурационные файлы и документация с паролями, поэтому даже один найденный секрет может дать атакующему новый путь в сеть.
ReliaQuest связывает применявшиеся инструменты и последовательность действий с типичной подготовкой к атакам вымогателей. Прямой атрибуции нет, но похожие приемы раньше использовали группировки, связанные с вымогательским программным обеспечением, включая Akira.
Отдельный признак атаки нашли в журналах SonicWall. Все попытки подбора паролей сопровождались типом сеанса sess="CLI". Такой тип указывает на автоматизированную авторизацию, а не на обычный интерактивный вход пользователя. После успешного входа специалисты видели переход к sess="GMS", что могло означать подключение к внутренним ресурсам.
Администраторам SonicWall рекомендуют проверить не только версию прошивки, но и все шесть ручных шагов из бюллетеня SNWLID-2025-0001 для устройств Gen6. Также нужно включить пересылку журналов аутентификации SonicWall в систему управления событиями безопасности, отслеживать sess="CLI", проверять права учетных записей VPN и убрать повторное использование локальных административных паролей.
Устройства Gen6 достигли конца срока поддержки 16 апреля 2026 года, но такие модели все еще могут работать в компаниях, особенно в малом и среднем бизнесе. ReliaQuest ожидает, что атаки на CVE-2024-12802 и похожие уязвимости обхода аутентификации в VPN продолжатся в течение 2026 года.
Специалисты ReliaQuest выяснили , что злоумышленники взламывали уже обновленные устройства SonicWall SSL <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, потому что одной новой версии прошивки оказалось недостаточно. На некоторых моделях администраторы должны вручную изменить настройки, иначе устройство выглядит защищенным, но остается уязвимым.
По данным ReliaQuest, атаки на CVE-2024-12802 (оценка по CVSS: 9.4) затронули несколько организаций в феврале и марте 2026 года. Специалисты считают, что перед ними, с умеренной степенью уверенности, первые известные случаи эксплуатации уязвимости в реальных атаках. Проблема позволяет обойти многофакторную аутентификацию на устройствах SonicWall SSL VPN и фактически сводит защиту к одному паролю.
Уязвимость раскрыли в начале 2025 года. SonicWall выпустила исправление, но для устройств шестого поколения, Gen6, обновления прошивки недостаточно. Администраторам нужно выполнить еще шесть ручных шагов, связанных с перенастройкой LDAP. Без этих действий старая конфигурация сохраняется, а злоумышленники могут использовать формат имени пользователя, через который многофакторная аутентификация не срабатывает как надо.
Проблема особенно опасна тем, что проверка проходит почти незаметно. В журналах SonicWall специалисты видели запрос одноразового пароля, то есть многофакторная аутентификация была включена. При этом вход все равно завершался успешно без ввода такого пароля. Для защитников такой вход выглядел как обычная авторизация легитимного пользователя.
В атаках злоумышленники подбирали учетные данные к VPN с помощью автоматизированных инструментов. В одном случае им хватило всего 13 попыток, чтобы найти рабочую пару логина и пароля. После входа они быстро проверяли внутреннюю сеть, пробовали те же учетные данные на других системах и иногда выходили через 30-60 минут, не оставляя явных следов взлома.
В одном из расследованных инцидентов атака развивалась гораздо быстрее. Примерно через 30 минут после входа через VPN злоумышленник подключился к файловому серверу по протоколу удаленного рабочего стола, используя общий пароль локального администратора. Затем он попытался запустить маяк Cobalt Strike и применить уязвимый подписанный драйвер, чтобы отключить защиту на конечной точке. Защитное средство заблокировало обе попытки.
После блокировки злоумышленник переключился на ручной поиск файлов через «Блокнот». Такой прием может не вызвать тревоги, потому что открытие документов на файловом сервере выглядит как обычная работа пользователя. На подобных серверах часто хранятся сценарии, конфигурационные файлы и документация с паролями, поэтому даже один найденный секрет может дать атакующему новый путь в сеть.
ReliaQuest связывает применявшиеся инструменты и последовательность действий с типичной подготовкой к атакам вымогателей. Прямой атрибуции нет, но похожие приемы раньше использовали группировки, связанные с вымогательским программным обеспечением, включая Akira.
Отдельный признак атаки нашли в журналах SonicWall. Все попытки подбора паролей сопровождались типом сеанса sess="CLI". Такой тип указывает на автоматизированную авторизацию, а не на обычный интерактивный вход пользователя. После успешного входа специалисты видели переход к sess="GMS", что могло означать подключение к внутренним ресурсам.
Администраторам SonicWall рекомендуют проверить не только версию прошивки, но и все шесть ручных шагов из бюллетеня SNWLID-2025-0001 для устройств Gen6. Также нужно включить пересылку журналов аутентификации SonicWall в систему управления событиями безопасности, отслеживать sess="CLI", проверять права учетных записей VPN и убрать повторное использование локальных административных паролей.
Устройства Gen6 достигли конца срока поддержки 16 апреля 2026 года, но такие модели все еще могут работать в компаниях, особенно в малом и среднем бизнесе. ReliaQuest ожидает, что атаки на CVE-2024-12802 и похожие уязвимости обхода аутентификации в VPN продолжатся в течение 2026 года.
- Источник новости
- www.securitylab.ru
