CVE-2024-12802: обход MFA в SonicWall SSL VPN Gen6

CVE-2024-12802: как уязвимость в SonicWall SSL VPN обходит MFA и открывает путь в корпоративную сеть

CVE-2024-12802 — это уязвимость обхода аутентификации в устройствах SonicWall SSL VPN, прежде всего затрагивающая оборудование поколения Gen6. Несмотря на выпуск обновления прошивки, одной только установки патча оказалось недостаточно: для полной защиты организациям необходимо выполнить шесть критических шагов ручной переконфигурации. Именно их отсутствие, по данным анализа, позволило злоумышленникам активно эксплуатировать уязвимость, при этом системы управления уязвимостями продолжали показывать устройства как защищённые.

Исследование ReliaQuest указывает, что первое известное применение этой уязвимости произошло в период с февраля по март 2026 года. По оценке аналитиков, атакующие использовали техники bruteforce для компрометации VPN-учётных данных и при этом успешно обходили MFA без срабатывания оповещений о входе в систему.

Как работает атака

Уязвимость фундаментально подрывает безопасность VPN-доступа: злоумышленник получает возможность войти через формат аутентификации, который не обеспечивает надлежащую многофакторную проверку. На практике это означало, что атакующим было достаточно минимального числа попыток bruteforce, чтобы получить несанкционированный доступ во внутреннюю сеть в очень короткие сроки.

В ряде случаев перемещение внутри инфраструктуры до файловых серверов занимало менее 40 минут после первоначальной аутентификации через VPN.

Что обнаружили на компрометированных системах

Наблюдаемые инструменты и поведение атакующих соответствовали техникам, которые обычно применяют группы вымогателей. В частности, были замечены попытки:

• развернуть маяки Cobalt Strike — распространённый инструмент post-exploitation для управления заражённой средой;
• использовать техники Bring Your Own Vulnerable Driver (BYOVD) для отключения защитных механизмов endpoint;
• закрепиться в сети и расширить доступ к внутренним ресурсам.

Отдельную проблему создаёт архитектура аутентификации в решениях SonicWall: используются два разных формата аутентификации в Active Directory, и если один из них остаётся незащищённым, злоумышленник может обойти MFA.

Почему MFA не сработала

Во время зафиксированных вторжений backend-логи подтверждали, что запросы одноразовых паролей действительно отправлялись. Однако атакующим всё равно удавалось входить в систему без требуемой верификации. Это указывает на скрытые сбои в механизме MFA, которые не приводили к появлению тревожных сигналов.

Особенно тревожным выглядит отсутствие оповещений о неудачных попытках MFA. Такой пробел в обнаружении угроз может надолго оставить организации уязвимыми: скомпрометированные VPN-учётные записи способны оставаться незамеченными в течение длительного времени.

Что искать в журналах

Для обнаружения подобных атак аналитики рекомендуют обращать внимание на определённые типы сессий в журналах аутентификации, прежде всего на «sess= CLI». Такой признак указывает на автоматизированные попытки входа, а не на обычную пользовательскую активность.

Если подобная сессия связана с конкретными IP-адресами, это становится важным ранним индикатором вредоносной активности и требует немедленного расследования.

Что нужно сделать организациям

Чтобы снизить риски, организациям рекомендуется:

• убедиться, что после обновления прошивки на устройствах Gen6 выполнены все шесть шагов по устранению уязвимости;
• контролировать использование VPN на предмет несанкционированных типов сессий;
• блокировать известные уязвимые драйверы;
• провести аудит привилегий VPN-учётных записей и ограничить связанные с ними права.

Анализ также прогнозирует дальнейшее закрепление попыток эксплуатации CVE-2024-12802 и аналогичных уязвимостей. Причина в том, что злоумышленники продолжают использовать неправильно настроенные VPN-конфигурации. Для организаций, по-прежнему использующих затронутые устройства, особенно на фоне окончания срока поддержки, проактивная проверка устранения уязвимости становится критически необходимой.

Вывод очевиден: обновление прошивки само по себе не гарантирует защиту. В случае с SonicWall SSL VPN решающую роль играет не только patch management, но и точное выполнение всех шагов ручной переконфигурации, а также постоянный контроль журналов и привилегий.