Auf den Punkt: Hacker nutzten CVE-2024-12802 aus, um MFA auf SonicWall Gen6-Geräten zu umgehen. Unternehmen, die nur das Firmware-Update installierten aber die erforderlichen LDAP-Rekonfigurationsschritte übersprangen, bleiben anfällig für Angriffe. ReliaQuest dokumentiert erste Wild-Exploitations zwischen Februar und März 2024.
Angreifer haben Brute-Force-Angriffe gegen VPN-Zugangsdaten gestartet und die Multi-Faktor-Authentifizierung (MFA) auf SonicWall Gen6 SSL-VPN-Geräten umgangen, um Ransomware-Tools einzuschleusen. Das Sicherheitsproblem CVE-2024-12802 betrifft vor allem Unternehmen, die die erforderlichen Konfigurationsschritte nach dem Firmware-Update nicht durchgeführt haben.
Cybersicherheitsexperten von ReliaQuest haben zwischen Februar und März mehrere Eindringungen analysiert, die auf die erste Wild-Exploitation von CVE-2024-12802 hindeuten. Die Angreifer benötigten zwischen 30 und 60 Minuten, um sich einzuloggen, das Netzwerk zu erkunden und Anmeldedaten auf internen Systemen zu testen.
Das Kernproblem liegt in einer mangelnden MFA-Durchsetzung beim UPN-Login-Format (User Principal Name). Kritisch ist dabei: Das bloße Installieren des Firmware-Updates auf Gen6-Geräten behebt die Schwachstelle nicht vollständig. Eine manuelle Rekonfiguration des LDAP-Servers ist erforderlich. Viele Unternehmen führten diese zusätzlichen Schritte nicht durch und glaubten fälschlicherweise, ihre Geräte seien vollständig gepatcht.
In einem untersuchten Incident verschafften sich Angreifer innerhalb von nur 30 Minuten Zugriff auf interne Netzwerkressourcen und erreichten einen domänenbeitretenen Dateiserver. Sie versuchten, einen Cobalt-Strike-Beacon und einen anfälligen Treiber zur Deaktivierung des Endpoint-Schutzes bereitzustellen – konnten dies aber durch die installierte EDR-Lösung nicht durchsetzen.
ReliaQuest vermutet, dass der Angreifer ein Access-Broker ist, der Initialzugriff an andere Bedrohungsgruppen verkauft. Dies deuten wiederholte Anmeldungen mit verschiedenen Konten an unterschiedlichen Tagen an.
Die Behebung von CVE-2024-12802 auf Gen6-Geräten erfordert mehrere manuelle Schritte: Löschen der bestehenden LDAP-Konfiguration mit userPrincipalName, Entfernen lokal gecachter LDAP-Benutzer, Entfernen der konfigurierten „User Domain“, ein Neustart der Firewall und die Neuerstellung der LDAP-Konfiguration ohne userPrincipalName. Auf neueren Gen7- und Gen8-Geräten ist ein einfaches Firmware-Update ausreichend.