Die Schwachstelle CVE-2024-12802 beruht auf einer fehlenden MFA-Durchsetzung beim Anmeldeformat UPN. Dadurch kann sich ein Angreifer mit gültigen Zugangsdaten direkt authentifizieren und die MFA-Anforderung umgehen. Auf Gen6-Geräten genügt das Firmware-Update allein nicht: SonicWall verlangt zusätzlich die in der Sicherheitsmeldung beschriebenen Maßnahmen, insbesondere die manuelle Neukonfiguration des LDAP-Servers. Auf Gen7- und Gen8-Geräten reicht dagegen die Aktualisierung auf eine neuere Firmware-Version aus, um das Risiko vollständig zu beseitigen.
Wie ReliaQuest schildert, gelangte ein Angreifer in einem Fall innerhalb von rund 30 Minuten ins interne Netzwerk und erreichte einen in die Domäne eingebundenen Dateiserver. Anschließend baute er über RDP eine Remote-Verbindung auf und nutzte dabei ein gemeinsam verwendetes Passwort eines lokalen Administrators.
Die Forscher beobachteten, dass der Angreifer versuchte, einen Cobalt-Strike-Beacon zur Command-and-Control-Kommunikation sowie einen verwundbaren Treiber einzusetzen — letzteren vermutlich, um per Bring-Your-Own-Vulnerable-Driver-Technik (BYOVD) den Endpunktschutz zu deaktivieren. Die installierte EDR-Lösung blockierte jedoch sowohl den Beacon als auch das Laden des Treibers.
Aus dem bewussten Abmelden und dem erneuten Anmelden Tage später, teils unter anderen Konten, schließen die Forscher, dass es sich um einen Zugangshändler handelt, der den Erstzugang an Ransomware-Gruppen verkauft. Sie gehen mit hoher Zuversicht davon aus, dass sich der Akteur den Erstzugang über CVE-2024-12802 verschaffte — branchen- und länderübergreifend. Bereits im vergangenen Jahr nahm die Ransomware-Gruppe Akira SonicWall-SSL-VPN-Geräte ins Visier und meldete sich trotz aktivierter MFA an; die Methode wurde damals jedoch nicht bestätigt.
Ein besonderes Problem für die Verteidigung: Laut ReliaQuest erschienen die betrügerischen Anmeldeversuche in den Protokollen weiterhin als regulärer MFA-Ablauf, sodass Verteidiger annahmen, die MFA funktioniere — obwohl sie versagte. Als zentralen Hinweis auf solche Angriffe nennen die Forscher das Signal sess=„CLI", das auf eine skriptgesteuerte oder automatisierte VPN-Authentifizierung hindeutet; Administratoren sollten gezielt danach suchen. Weitere starke Indikatoren sind die Ereignis-IDs 238 und 1080 sowie VPN-Anmeldungen von verdächtiger VPS- oder VPN-Infrastruktur.
Gen6-Geräte müssen mit der neuesten Firmware aktualisiert und danach gemäß den Schritten in der Herstellermeldung nachkonfiguriert werden. Da die Gen6-SSL-VPN-Appliances in diesem Jahr das Ende ihrer Lebensdauer erreicht haben und keine Sicherheitsupdates mehr erhalten, wird generell ein Wechsel auf neuere, aktiv unterstützte Versionen empfohlen.
