SecAtor
@true_secator
Хакеры обходят MFA в VPN SonicWall из-за неполного обновления ПО.
Злоумышленники с помощью сбрутили учетные данные VPN и обошли многофакторную аутентификацию (MFA) на устройствах SonicWall Gen6 SSL-VPN, развернув инструменты, используемые для атак программ-вымогателей.
Для этого хакеру потребовалось от 30 до 60 минут, чтобы войти в систему, провести разведку сети, проверить повторное использование учетных данных во внутренних системах и выйти.
В своем уведомлении, посвященном CVE-2024-12802, SonicWall предупредила, что установка только обновления прошивки на устройства Gen6 не полностью устраняет уязвимость, и требуется ручная перенастройка LDAP-сервера. В противном случае остается возможность обойти MFA.
Исследователи ReliaQuest отреагировали на многочисленные инциденты в период с февраля по март и с умеренной степенью уверенности оценили это как первую в реальных условиях эксплуатацию CVE-2024-12802, нацеленной на устройства SonicWall в различных средах.
Исследователи отметили, что устройства, по-видимому, были пропатчены, поскольку на них работала обновленная прошивка, однако они оставались уязвимыми, так как необходимые шаги по устранению проблемы не были выполнены.
На устройствах Gen7 и Gen8 достаточно просто обновить прошивку до более новой версии, чтобы полностью исключить риск использования уязвимости CVE-2024-12802.
Как отмечает ReliaQuest, что в одном из инцидентов хакер получил доступ к внутренней сети и подключился к файловому серверу, входящему в домен, всего за полчаса. Затем он установил удалённое соединение по протоколу RDP, используя общий пароль локального администратора.
Злоумышленник пытался развернуть маяк Cobalt Strike и уязвимый драйвер, вероятно, для отключения защиты конечных точек с использованием метода BYOVD. Однако установленное EDR-решение на устройствах заблокировало атаку.
Судя по преднамеренному выходу из системы и повторному входу через несколько дней (иногда с использованием других учетных записей), злоумышленник выступает в роли посредника, продающего первоначальный доступ другим группам злоумышленников.
В прошлом году банда вымогателей Akira атаковала устройства SonicWall SSL VPN и смогла проникнуть в систему, несмотря на включение многофакторной аутентификации (MFA) в учетных записях, однако этот метод не был подтвержден.
Упомянутая CVE-2024-12802 вызвана отсутствием MFA для формата входа UPN, позволяя злоумышленнику с действительными учетными данными пройти аутентификацию напрямую и обойти MFA.
Таким образом, пользователям следует обновить прошивку устройств SonicWall 6-го поколения до последней версии, а затем выполнить действия по устранению неполадок, подробно описанные в рекомендациях поставщика.
Исследователи с высокой степенью уверенности установили, что злоумышленник, стоящий за вторжениями, получил первоначальный доступ, используя CVE-2024-12802 «в различных секторах и регионах».
По данным ReliaQuest, попытки несанкционированного входа в систему, зафиксированные в ходе расследования, в журналах отображались как обычный поток MFA, что заставляло специалистов по защите полагать, что MFA сработала даже в случае сбоя.
Исследователи полагают, что сигнал sess=”CLI” является ключевым индикатором этих атак, указывающим на использование скриптов или автоматизированной аутентификации VPN, и рекомендуют администраторам обращать на него внимание.
К другим важным сигналам относятся идентификаторы событий 238 и 1080, а также входы в VPN с подозрительных VPS/VPN-инфраструктур.
Учитывая, что поддержка устройств SSL-VPN шестого поколения завершилась 16 апреля этого года, и они больше не получают обновлений безопасности, обычно рекомендуется перейти на более новые, активно поддерживаемые версии.
Злоумышленники с помощью сбрутили учетные данные VPN и обошли многофакторную аутентификацию (MFA) на устройствах SonicWall Gen6 SSL-VPN, развернув инструменты, используемые для атак программ-вымогателей.
Для этого хакеру потребовалось от 30 до 60 минут, чтобы войти в систему, провести разведку сети, проверить повторное использование учетных данных во внутренних системах и выйти.
В своем уведомлении, посвященном CVE-2024-12802, SonicWall предупредила, что установка только обновления прошивки на устройства Gen6 не полностью устраняет уязвимость, и требуется ручная перенастройка LDAP-сервера. В противном случае остается возможность обойти MFA.
Исследователи ReliaQuest отреагировали на многочисленные инциденты в период с февраля по март и с умеренной степенью уверенности оценили это как первую в реальных условиях эксплуатацию CVE-2024-12802, нацеленной на устройства SonicWall в различных средах.
Исследователи отметили, что устройства, по-видимому, были пропатчены, поскольку на них работала обновленная прошивка, однако они оставались уязвимыми, так как необходимые шаги по устранению проблемы не были выполнены.
На устройствах Gen7 и Gen8 достаточно просто обновить прошивку до более новой версии, чтобы полностью исключить риск использования уязвимости CVE-2024-12802.
Как отмечает ReliaQuest, что в одном из инцидентов хакер получил доступ к внутренней сети и подключился к файловому серверу, входящему в домен, всего за полчаса. Затем он установил удалённое соединение по протоколу RDP, используя общий пароль локального администратора.
Злоумышленник пытался развернуть маяк Cobalt Strike и уязвимый драйвер, вероятно, для отключения защиты конечных точек с использованием метода BYOVD. Однако установленное EDR-решение на устройствах заблокировало атаку.
Судя по преднамеренному выходу из системы и повторному входу через несколько дней (иногда с использованием других учетных записей), злоумышленник выступает в роли посредника, продающего первоначальный доступ другим группам злоумышленников.
В прошлом году банда вымогателей Akira атаковала устройства SonicWall SSL VPN и смогла проникнуть в систему, несмотря на включение многофакторной аутентификации (MFA) в учетных записях, однако этот метод не был подтвержден.
Упомянутая CVE-2024-12802 вызвана отсутствием MFA для формата входа UPN, позволяя злоумышленнику с действительными учетными данными пройти аутентификацию напрямую и обойти MFA.
Таким образом, пользователям следует обновить прошивку устройств SonicWall 6-го поколения до последней версии, а затем выполнить действия по устранению неполадок, подробно описанные в рекомендациях поставщика.
Исследователи с высокой степенью уверенности установили, что злоумышленник, стоящий за вторжениями, получил первоначальный доступ, используя CVE-2024-12802 «в различных секторах и регионах».
По данным ReliaQuest, попытки несанкционированного входа в систему, зафиксированные в ходе расследования, в журналах отображались как обычный поток MFA, что заставляло специалистов по защите полагать, что MFA сработала даже в случае сбоя.
Исследователи полагают, что сигнал sess=”CLI” является ключевым индикатором этих атак, указывающим на использование скриптов или автоматизированной аутентификации VPN, и рекомендуют администраторам обращать на него внимание.
К другим важным сигналам относятся идентификаторы событий 238 и 1080, а также входы в VPN с подозрительных VPS/VPN-инфраструктур.
Учитывая, что поддержка устройств SSL-VPN шестого поколения завершилась 16 апреля этого года, и они больше не получают обновлений безопасности, обычно рекомендуется перейти на более новые, активно поддерживаемые версии.
ReliaQuest
VPN Exploitation When Patched Doesn't Mean Protected | Threat Spotlight
ReliaQuest researchers detail active exploitation of CVE-2024-12802 in SonicWall SSL VPN, including credential abuse detection and full remediation guidance.
22 6.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram