Atores de ameaça usaram ataques de força bruta contra credenciais de VPN e contornaram a autenticação multifator (MFA) em appliances SonicWall Gen6 SSL-VPN para implantar ferramentas associadas a ataques de ransomware.
Durante as intrusões, o invasor levou entre 30 e 60 minutos para entrar, fazer reconhecimento da rede, testar a reutilização de credenciais em sistemas internos e sair.
Em um comunicado de segurança sobre a
CVE-2024-12802
, a SonicWall alertou que a simples instalação da atualização de firmware em dispositivos Gen6 não elimina totalmente a vulnerabilidade e que é necessária uma reconfiguração manual do servidor LDAP.
Sem essa etapa, permanece aberta a possibilidade de burlar a proteção de MFA.
Pesquisadores da empresa de cibersegurança ReliaQuest responderam a várias intrusões entre fevereiro e março e concluíram, com “confiança moderada”, que se tratava da primeira exploração em ambiente real da
CVE-2024-12802
, mirando dispositivos SonicWall em diferentes ambientes.
Segundo os pesquisadores, nos ambientes analisados os dispositivos pareciam estar corrigidos, porque executavam a versão atualizada do firmware.
Ainda assim, continuavam vulneráveis porque as etapas de remediação exigidas não haviam sido concluídas.
Nos dispositivos Gen7 e Gen8, basta atualizar para uma versão mais recente do firmware para eliminar completamente o risco de exploração da
CVE-2024-12802
.
A ReliaQuest afirma que, em um dos incidentes, o invasor obteve acesso à rede interna e alcançou um servidor de arquivos ingressado no domínio em apenas meia hora.
Em seguida, estabeleceu uma conexão remota via RDP usando a senha local compartilhada de um administrador.
Os pesquisadores identificaram também uma tentativa de implantar um beacon do Cobalt Strike, um framework pós-exploração usado para comunicação de comando e controle (C2), além de um driver vulnerável, provavelmente para desativar a proteção de endpoint por meio da técnica Bring Your Own Vulnerable Driver, ou BYOVD.
No entanto, a solução de endpoint detection and response (EDR) instalada bloqueou o beacon e o carregamento do driver.
Com base na ação deliberada de sair do sistema e voltar a se conectar dias depois, às vezes usando contas diferentes, os pesquisadores acreditam que o ator de ameaça seja um broker que vende acesso inicial a grupos criminosos.
No ano passado, o grupo de ransomware Akira mirou dispositivos SonicWall SSL VPN e conseguiu entrar mesmo com MFA habilitada nas contas, embora o método não tenha sido confirmado.
A vulnerabilidade
CVE-2024-12802
é causada pela ausência de imposição de MFA para o formato de login UPN, o que permite que um invasor com credenciais válidas se autentique diretamente e contorne a exigência de MFA.
Dispositivos SonicWall Gen6 precisam ser atualizados com o firmware mais recente e, depois, seguir as etapas de remediação detalhadas no comunicado do fabricante:
Excluir a configuração LDAP existente que usa userPrincipalName no campo “Qualified login name”
Remover os usuários LDAP armazenados em cache ou listados localmente
Remover o “User Domain” configurado no SSL VPN, o que reverte para LocalDomain
Reiniciar o firewall
Recriar a configuração LDAP sem userPrincipalName em “Qualified login name”
Criar um novo backup para evitar restaurar mais tarde a configuração LDAP vulnerável
Os pesquisadores têm alta confiança de que o ator de ameaça por trás das intrusões analisadas obteve acesso inicial ao explorar a
CVE-2024-12802
“em múltiplos setores e geografias”.
Segundo a ReliaQuest, as tentativas de login maliciosas observadas nos incidentes analisados ainda apareciam nos logs como um fluxo normal de MFA, levando as equipes de defesa a acreditar que a MFA havia funcionado, mesmo quando falhou.
Os pesquisadores afirmam que o sinal sess=”CLI” é um indicador importante desses ataques, pois sugere autenticação de VPN automatizada ou por script, e recomendam que administradores monitorem esse evento.
Outros indícios fortes são os IDs de evento 238 e 1080, além de logins de VPN vindos de infraestrutura suspeita de VPS ou VPN.
Como os appliances Gen6 SSL-VPN chegaram ao fim da vida útil em 16 de abril deste ano e não recebem mais atualizações de segurança, a recomendação geral é migrar para versões mais recentes, com suporte ativo.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...