SchwachstellenHackerangriffeRansomware

SonicWall-VPN: Hacker umgehen MFA durch unvollständige Patches – erste Wild-Exploits bestätigt

Von CyberDeutsch Redaktion
SonicWall-VPN: Hacker umgehen MFA durch unvollständige Patches – erste Wild-Exploits bestätigt
Zusammenfassung

Sicherheitsforscher haben dokumentiert, dass Angreifer eine kritische Schwachstelle in SonicWall VPN-Appliances der Gen6-Serie systematisch ausnutzen, um die Multi-Faktor-Authentifizierung zu umgehen und sich Zugang zu Unternehmensnetzen zu verschaffen. Die Lücke CVE-2024-12802 ermöglicht es Bedrohungsakteuren mit gültigen Anmeldedaten, die MFA-Anforderung zu umgehen, indem sie das UPN-Loginformat missbrauchen. Besonders problematisch ist dabei ein unvollständiger Patch-Prozess: Während SonicWall eine Firmware-Aktualisierung bereitgestellt hat, ist für Gen6-Geräte zusätzlich eine manuelle Neukonfiguration des LDAP-Servers erforderlich – viele Administratoren führen nur das Update durch und glauben fälschlicherweise, die Schwachstelle sei behoben. Forscher von ReliaQuest dokumentierten mehrere Angriffe zwischen Februar und März, bei denen Angreifer in teilweise unter 30 Minuten in Unternehmensnetze eindrangen und Ransomware-Tools wie Cobalt Strike bereitstellten. Für deutsche Unternehmen und Behörden stellt dies eine erhebliche Bedrohung dar, da SonicWall-VPN-Lösungen weit verbreitet sind. Gen6-Geräte sind zudem seit April 2024 am Ende ihres Lebenszyklus und erhalten keine Sicherheitsupdates mehr, was die Dringlichkeit eines Wechsels zu neueren Versionen unterstreicht.

Die Sicherheitslücke CVE-2024-12802 wird durch fehlende MFA-Durchsetzung bei der UPN-Login-Form verursacht. Angreifer können damit die Multi-Faktor-Authentifizierung vollständig umgehen, sofern sie gültige Anmeldedaten besitzen. ReliaQuest-Analysten fanden heraus, dass die beobachteten Brute-Force-Versuche in VPN-Logs völlig normal aussahen – Sicherheitsteams glaubten, dass MFA funktionierte, obwohl es tatsächlich kompromittiert wurde.

Die Angreifer zeigten systematisches Vorgehen: Sie loggten sich ein, führten Netzwerk-Aufklärung durch, testeten Credential Reuse auf internen Systemen und loggten sich aus. In einem dokumentierten Fall erreichte der Angreifer einen Domain-joined File-Server in nur 30 Minuten und baute eine Remote-Desktop-Verbindung über RDP auf – mit Zugang zu einem freigegebenen lokalen Administrator-Passwort.

Die Angreifer versuchten, einen Cobalt-Strike-Beacon zu deployen (einen Post-Exploitation-Framework für Command-and-Control-Kommunikation) und einen verwundbaren Treiber zu laden. Ziel war offenbar die Bring-Your-Own-Vulnerable-Driver-Methode (BYOVD) zum Deaktivieren von Endpoint-Schutz. In den untersuchten Fällen konnte eine installierten EDR-Lösung den Beacon und das Treiber-Laden blockieren.

Besonders beunruhigend: ReliaQuest vermutet, dass es sich bei den Angreifern um einen Access-Broker handelt, der Initial-Access an Ransomware-Gangs verkauft. Die absichtlichen Log-outs und späteren Logins mit unterschiedlichen Accounts deuten auf eine systematische Zugriffsverkäufung hin.

Für die Behebung ist Vorsicht erforderlich: Gen6-Geräte benötigen nicht nur ein Firmware-Update, sondern auch die in SonicWalls Advisory beschriebenen manuellen Konfigurationsschritte zur LDAP-Neukonfiguration. Gen7- und Gen8-Geräte werden durch ein einfaches Firmware-Update vollständig geschützt.

Sicherheitsadministratoren sollten nach dem Indikator “sess=CLI” in Logs suchen – dieser deutet auf automatisierte oder skriptgesteuerte VPN-Authentifizierung hin. Auch Event IDs 238 und 1080 sowie VPN-Logins von verdächtiger VPS/VPN-Infrastruktur sind starke Warnsignale.

Grund zur Eile: Gen6 SonicWall-Geräte erreichten am 16. April 2024 ihr End-of-Life und erhalten keine Sicherheitsupdates mehr. Unternehmen sollten auf unterstützte neuere Versionen migrieren.

Ähnliche Artikel