Hakerski napadi na SonicWall VPN - MFA zaobilazak zbog nepotpunih zakrpi
Napadači zaobilaze MFA na SonicWall VPN zbog nepotpunih zakrpi; obavezna ručna rekonkonfiguracija LDAP-a.
Šta se desilo?
Napadači su uspevali da zaobiđu multi-factor authentication (MFA) zaštitu na SonicWall Gen6 SSL-VPN uređajima koristeći ranjivost CVE-2024-12802. Iako su proizvođači izdali firmware ažuriranja, mnogi administratori nisu izvršili dodatne ručne korake potrebne za potpunu zaštitu, čime su ostavili vrata otvorena napadačima.
Koga pogađa?
Ozbiljno su ugrožene organizacije koje koriste SonicWall Gen6 SSL-VPN uređaje, posebno one u različitim sektorima i geografskim regijama. Napadači su do sada aktivni u februaru i martu, a istraživači očekuju da će napadi biti usmereni na sve kompanije koje nemaju potpuno implementirane sve korektivne mere.
Kako se zaštititi?
- Ažurirajte firmware na Gen6 uređajima na najnoviju verziju
- Obavite ručnu rekonfikguraciju LDAP servera prema uputstvima proizvođača - ovo je KRITIČNO i često se preskače
- Obrišite postojeću LDAP konfiguraciju koja koristi userPrincipalName format
- Uklonite lokalno keširane LDAP korisnike sa uređaja
- Resetujte SSL VPN "User Domain" postavke na podrazumevano stanje
- Restartujte firewall uređaj nakon izmena
- Ponovo kreirajte LDAP konfiguraciju bez userPrincipalName parametra
- Monitorujte VPN logove u potrazi za sumnjivim pokušajima prijave sa signal "sess=CLI"
- Pratite event ID-eve 238 i 1080 kao indikatore za napade
- Blokujte pristupe sa poznate VPS/VPN infrastrukture iz koje dolaze napadi
Tehnički detalji
Ranjivost CVE-2024-12802 omogućava zaobilaženje MFA zaštite zbog nedostatka provere UPN formata pri prijavi. Istraživači iz ReliaQuest-a su zabeležili da napadači troše 30 do 60 minuta na pronalaženju i testiranju pristupa internim sistemima nakon što se prijave na VPN. Korišćeni indikatori napada uključuju Cobalt Strike beacon za command-and-control komunikaciju i pokušaje primene BYOVD (Bring Your Own Vulnerable Driver) tehnike za zaobilaženje endpoint zaštite. Gen7 i Gen8 uređaji su dovoljno zaštićeni samo firmwareskim ažuriranjem, za razliku od Gen6 gde je ručna intervencija obavezna.
Preporuka Sajber Radara
Ako koristite SonicWall Gen6 SSL-VPN, odmah proverite da li ste izvršili sve preporučene korake ili se migrujte na novije verzije. Jednostavno ažuriranje firmvera NIJE dovoljno - nepotpuna zaštita čini vašu mrežu lakšom metom za napade. Gen6 uređaji su već zastareli i više neće dobijati sigurnosne zakrpe, pa je planirana migracija neophodna.