Hackere klarte å omgå SonicWalls VPN MFA-beskyttelse etter at organisasjoner implementerte ufullstendige sikkerhetsfikser for en kjent sårbarhet som påvirker SonicWall Gen6 SSL-VPN-enheter. Forskere opplyste at angripere fikk tilgang til nettverk selv om enkelte berørte systemer allerede hadde oppdatert firmware installert.
Hendelsene viser hvordan ufullstendig utbedring kan etterlate kritisk infrastruktur eksponert selv etter at patcher er installert. Sikkerhetseksperter advarer om at organisasjoner ofte overser ekstra konfigurasjonstrinn som kreves for å sikre sårbare systemer fullt ut.
Ufullstendig utbedring etterlot systemer eksponert
Ifølge forskere involverte angrepene CVE-2024-12802, en sårbarhet som påvirker SonicWall Gen6 SSL-VPN-enheter.
SonicWall advarte om at installasjon av firmwareoppdateringen alene ikke løser problemet fullstendig på berørte enheter. Administratorer må også manuelt oppdatere LDAP-konfigurasjoner for å lukke MFA-omgåelsesrisikoen helt.
Flere kompromitterte miljøer fremstod ifølge rapporter som fullt patchet fordi de allerede kjørte oppdaterte firmwareversjoner. Organisasjonene hadde imidlertid ikke gjennomført de ekstra sikkerhetstiltakene som krevdes etter oppdateringen.
Forskere beskrev hendelsene som noen av de første bekreftede tilfellene av aktiv utnyttelse knyttet til sårbarheten.
Angripere utvidet tilgangen raskt
Etter å ha omgått autentiseringsbeskyttelsen beveget angriperne seg raskt gjennom de berørte miljøene.
I ett tilfelle nådde trusselaktører en domenetilkoblet filserver innen omtrent 30 minutter etter å ha fått VPN-tilgang. Forskere observerte også forsøk på gjenbruk av legitimasjonsopplysninger og etablering av ekstern tilgang gjennom delte administratorpassord.
Aktiviteten samsvarte med teknikker som ofte forbindes med ransomware-operasjoner og lateral bevegelse etter kompromittering.
Sikkerhetseksperter advarer om at VPN-enheter fortsatt er svært attraktive mål fordi et vellykket kompromiss kan gi direkte tilgang til interne bedriftsnettverk.
VPN-infrastruktur er fortsatt under kraftige angrep
SonicWall-hendelsene gjenspeiler en bredere trend med angrep mot VPN-gatewayer, brannmurer og edge-infrastruktur.
Trusselaktører retter seg i økende grad mot autentiseringssystemer, svake passordpolicyer og dårlig sikrede fjernaksessmiljøer. Sikkerhetsforskere observerer fortsatt angripere som skanner internettvendt infrastruktur kort tid etter at nye sårbarheter blir offentlig kjent.
Fjernaksessløsninger er spesielt attraktive mål fordi de ofte er direkte koblet til sensitive interne systemer og administrative miljøer.
Forskere advarer om at selv korrekt patchet infrastruktur kan forbli sårbar dersom organisasjoner ikke fullfører alle nødvendige sikkerhetstiltak.
Organisasjoner bør gjennomgå SonicWall-konfigurasjoner
Sikkerhetseksperter anbefaler at organisasjoner følger SonicWalls veiledning nøye i stedet for kun å kontrollere firmwareversjoner.
Organisasjoner som bruker berørte SonicWall Gen6 SSL-VPN-enheter bør:
- Installere de nyeste firmwareoppdateringene
- Fullføre alle LDAP-omkonfigurasjoner
- Tilbakestille eksponerte VPN-legitimasjoner
- Håndheve sterke passordpolicyer
- Gjennomgå MFA-konfigurasjoner nøye
- Overvåke mistenkelig VPN-innloggingsaktivitet
- Kontrollere bruk av administratorkontoer
- Undersøke uvanlige fjernaksessøkter
Forskere anbefaler også å gjennomgå delte administratorlegitimasjoner og begrense unødvendig fjernaksess der det er mulig.
Risikoen for MFA-omgåelse fortsetter å øke
Multifaktorautentisering er fortsatt en av de viktigste sikkerhetsmekanismene for fjernaksessystemer. Sårbarheter som gjør det mulig å omgå MFA kan imidlertid redusere effektiviteten betydelig.
Angripere fortsetter å fokusere tungt på autentiseringsinfrastruktur fordi et vellykket kompromiss kan gi umiddelbar tilgang til interne bedriftsmiljøer uten å utløse tradisjonelle malware-forsvar.
Sikkerhetsteam står nå overfor økende press for å bekrefte at patching og utbedring faktisk eliminerer sårbarheter fullstendig, i stedet for bare å redusere risikoen delvis.
Konklusjon
SonicWall VPN MFA-omgåelseshendelsene viser hvordan ufullstendig utbedring kan etterlate organisasjoner sårbare selv etter at patcher er installert. Forskere opplyste at angripere klarte å omgå autentiseringsbeskyttelsen fordi berørte systemer ikke hadde fullført alle nødvendige konfigurasjonsoppdateringer.
Etter hvert som angrep mot VPN-infrastruktur fortsetter å øke, må organisasjoner sikre at alle sikkerhetstiltak fullt ut håndterer hver del av offentliggjorte sårbarheter.


0 responses to “SonicWall VPN MFA-omgåelse ble forårsaket av ufullstendige sikkerhetsfikser”