CVE-2024-12802 e falha em MFA SonicWall Gen6

· Fonte: Sempre Update
CVE-2024-12802 e falha em MFA SonicWall Gen6

A exploração da vulnerabilidade CVE-2024-12802 em ambientes de VPN corporativa da SonicWall acendeu um alerta importante para administradores de infraestrutura: a ideia de que a autenticação multifator (MFA) sozinha garante proteção total não se sustenta quando há falhas de configuração e correções incompletas.

Neste cenário, ataques ativos vêm demonstrando que é possível contornar a MFA em ambientes SSL-VPN Gen6, especialmente quando a correção aplicada ao firmware não inclui as etapas manuais necessárias. O resultado é preocupante: organizações com sistemas aparentemente atualizados continuam vulneráveis a invasões e até implantação de ransomware.

O ponto crítico está nos dispositivos SonicWall Gen6, onde a correção da falha não depende apenas de atualização automática. Em muitos casos, é necessário ajustar manualmente configurações de LDAP que permaneceram inalteradas, abrindo espaço para exploração.

Como os atacantes exploram a CVE-2024-12802 em VPN SonicWall

Os ataques associados à CVE-2024-12802 seguem um padrão bem definido e já observado em incidentes reais analisados por equipes de resposta a incidentes, incluindo a ReliaQuest.

Inicialmente, os invasores realizam tentativas de força bruta contra portais SSL-VPN expostos na internet. O objetivo é simples: obter credenciais válidas de usuários corporativos.

Uma vez que conseguem um login legítimo, entra em ação o mecanismo explorado pela falha. Em determinadas configurações de SonicWall SSL-VPN, a verificação de MFA não é corretamente aplicada, permitindo que o atacante avance sem a segunda etapa de autenticação.

Esse comportamento cria uma falsa sensação de segurança, já que o ambiente pode parecer protegido por MFA, mas na prática permite acesso com apenas um fator.

Fluxo de ataque observado
Fluxo de ataque observado
Imagem: ReliaQuest

O papel do formato de login UPN no bypass da MFA

O vetor técnico central da falha está relacionado ao uso do formato de autenticação UPN (User Principal Name).

Em configurações vulneráveis, a verificação de MFA não é aplicada corretamente quando o login ocorre via UPN. Isso significa que, mesmo com MFA habilitado, o fluxo de autenticação pode ser desviado.

Na prática, o invasor que obtém credenciais válidas consegue autenticar-se diretamente na VPN sem ser interrompido pela segunda etapa de verificação.

Esse detalhe é particularmente perigoso porque:

  • O login usa credenciais reais, dificultando detecção imediata;
  • O tráfego parece legítimo para sistemas de monitoramento;
  • Logs podem não indicar falha óbvia de autenticação.

Movimento lateral e pós-exploração em ataques contra SonicWall

Após o acesso inicial, os atacantes normalmente avançam rapidamente dentro da rede corporativa.

Ferramentas como Cobalt Strike são frequentemente utilizadas para manter persistência, executar comandos remotos e expandir o controle sobre a infraestrutura comprometida.

Segundo análises da ReliaQuest, outra técnica observada nesses ataques é o uso de BYOVD (Bring Your Own Vulnerable Driver), onde criminosos carregam drivers vulneráveis assinados para tentar desativar soluções de segurança e EDRs.

Mesmo quando bloqueados por sistemas de defesa modernos, esses ataques mostram um nível elevado de sofisticação e adaptação.

Em muitos casos, após o bypass da VPN, os invasores:

  • Coletam credenciais adicionais na rede;
  • Buscam contas administrativas;
  • Desativam ferramentas de monitoramento;
  • Implantam ransomware em servidores críticos;
  • Expandem o ataque para ambientes híbridos e Linux/Unix.

Por que a atualização automática não resolve o problema nos dispositivos Gen6

Um dos pontos mais críticos da vulnerabilidade VPN SonicWall é que a atualização automática do firmware não elimina completamente o risco em dispositivos Gen6.

Nos modelos mais recentes, como Gen7 e Gen8, a atualização corrige o problema de forma completa. Porém, no caso dos dispositivos Gen6, permanece um componente antigo de configuração LDAP que mantém a brecha ativa.

Esse detalhe técnico faz toda a diferença:

  • O firmware é atualizado;
  • Mas a configuração LDAP antiga continua ativa;
  • O bypass de MFA permanece possível.

Isso gera uma falsa sensação de segurança em muitas organizações que acreditam ter corrigido totalmente o problema.

Além disso, os dispositivos SonicWall Gen6 chegaram ao fim de vida útil (EOL) em abril de 2026, o que aumenta ainda mais o risco operacional, já que não há garantias de suporte contínuo.

Como corrigir a falha e proteger sua VPN SonicWall

Para eliminar o risco de exploração da CVE-2024-12802, não basta atualizar o firmware. É necessário aplicar uma sequência de correções manuais recomendadas.

Os administradores devem seguir os passos abaixo:

  1. Remover a configuração LDAP associada ao userPrincipalName
  2. Limpar usuários armazenados em cache local da VPN
  3. Alterar temporariamente o domínio configurado na SSL-VPN
  4. Reiniciar completamente o firewall SonicWall
  5. Recriar a configuração LDAP de forma segura e gerar novo backup

Essas ações são essenciais para eliminar referências antigas que permitem o bypass da autenticação multifator.

Além disso, recomenda-se:

  • Revisar todas as contas administrativas;
  • Aplicar políticas rígidas de senha;
  • Restringir acesso VPN por IP sempre que possível;
  • Monitorar autenticações em tempo real;
  • Planejar a migração para dispositivos suportados.

Como identificar tentativas de exploração nos logs

A detecção precoce de ataques que tentam contornar MFA em ambientes SonicWall depende fortemente da análise de logs.

Alguns indicadores são considerados críticos:

  • Presença da string sess=”CLI”, associada a autenticações automatizadas;
  • Eventos de ID 238;
  • Eventos de ID 1080.

Esses registros podem indicar tentativas de exploração da VPN ou atividades incomuns de login.

Outros sinais de alerta incluem:

  • Logins em horários fora do padrão;
  • Conexões de origens geográficas inesperadas;
  • Sequências rápidas de tentativas de autenticação;
  • Sessões VPN criadas em curto intervalo de tempo;
  • Acesso a contas privilegiadas sem padrão histórico.

Quanto mais cedo esses sinais forem identificados, maiores as chances de evitar movimentação lateral e impacto maior na rede.

Conclusão: MFA não é suficiente sem correções completas

O cenário envolvendo a CVE-2024-12802 reforça uma lição crítica de segurança: MFA não é uma solução absoluta quando há falhas estruturais na autenticação.

Os ataques que conseguem contornar MFA em VPNs da SonicWall mostram que configurações incompletas, especialmente em dispositivos Gen6, podem anular completamente a proteção esperada.

Ignorar as etapas manuais de correção ou manter infraestrutura desatualizada expõe organizações a riscos elevados, incluindo ransomware e comprometimento total do domínio.

A recomendação é clara: revisar logs imediatamente, aplicar as correções manuais necessárias e planejar a migração urgente para equipamentos suportados.