Hackare lyckades kringgå SonicWalls VPN MFA-skydd efter att organisationer implementerat ofullständiga säkerhetsfixar för en känd sårbarhet som påverkar SonicWall Gen6 SSL-VPN-enheter. Forskare uppgav att angripare framgångsrikt fick åtkomst till nätverk trots att vissa drabbade system redan hade uppdaterad firmware installerad.
Händelserna visar hur ofullständig sanering kan lämna kritisk infrastruktur exponerad trots att patchar har installerats. Säkerhetsexperter varnar för att organisationer ofta missar ytterligare konfigurationssteg som krävs för att helt säkra sårbara system.
Ofullständig sanering lämnade system exponerade
Enligt forskare rörde attackerna CVE-2024-12802, en sårbarhet som påverkar SonicWall Gen6 SSL-VPN-enheter.
SonicWall varnade för att installation av firmwareuppdateringen ensam inte helt löser problemet på drabbade enheter. Administratörer måste också manuellt uppdatera LDAP-konfigurationer för att fullt ut stänga MFA-kringgåenderisken.
Flera komprometterade miljöer verkade enligt rapporter vara fullt patchade eftersom de redan körde uppdaterade firmwareversioner. Organisationerna hade dock inte genomfört de ytterligare säkerhetsåtgärder som krävdes efter uppdateringen.
Forskare beskrev incidenterna som några av de första bekräftade attackerna i verkliga miljöer kopplade till sårbarheten.
Angripare expanderade snabbt åtkomsten
Efter att ha kringgått autentiseringsskydden ska angripare snabbt ha rört sig genom de drabbade miljöerna.
I ett fall nådde hotaktörer en domänansluten filserver inom cirka 30 minuter efter att ha fått VPN-åtkomst. Forskare observerade också försök att återanvända autentiseringsuppgifter och etablera fjärråtkomst genom delade administratörslösenord.
Aktiviteten matchade tekniker som ofta kopplas till ransomwareoperationer och lateral rörelse efter intrång.
Säkerhetsexperter varnar för att VPN-enheter förblir mycket attraktiva mål eftersom ett lyckat intrång kan ge direkt åtkomst till interna företagsnätverk.
VPN-infrastruktur utsätts för ökande attacker
SonicWall-incidenterna speglar en bredare trend av attacker mot VPN-gateways, brandväggar och edge-infrastruktur.
Hotaktörer riktar sig allt oftare mot autentiseringssystem, svaga lösenordspolicys och dåligt säkrade fjärråtkomstmiljöer. Säkerhetsforskare fortsätter att se angripare skanna internetexponerad infrastruktur kort efter att nya sårbarheter offentliggörs.
Fjärråtkomstenheter är särskilt värdefulla mål eftersom de ofta är direkt kopplade till känsliga interna system och administrativa miljöer.
Forskare varnar för att även korrekt patchad infrastruktur kan förbli sårbar om organisationer inte genomför varje nödvändigt säkerhetssteg fullt ut.
Organisationer bör granska SonicWall-konfigurationer
Säkerhetsexperter rekommenderar att organisationer noggrant följer SonicWalls vägledning istället för att enbart kontrollera firmwareversioner.
Organisationer som använder drabbade SonicWall Gen6 SSL-VPN-enheter bör:
- Installera de senaste firmwareuppdateringarna
- Genomföra alla LDAP-omkonfigurationer
- Återställa exponerade VPN-autentiseringsuppgifter
- Införa starka lösenordspolicys
- Granska MFA-konfigurationer noggrant
- Övervaka misstänkt VPN-inloggningsaktivitet
- Kontrollera användning av administratörskonton
- Undersöka ovanliga fjärrsessioner
Forskare rekommenderar även att granska delade administratörsuppgifter och begränsa onödig fjärråtkomst där det är möjligt.
Riskerna kring MFA-kringgående ökar
Multifaktorautentisering är fortfarande ett av de viktigaste skydden för fjärråtkomstsystem. Sårbarheter som gör det möjligt att kringgå MFA kan dock kraftigt minska skyddets effektivitet.
Angripare fortsätter att fokusera på autentiseringsinfrastruktur eftersom lyckade intrång kan ge omedelbar åtkomst till interna företagsmiljöer utan att traditionella skydd mot skadeprogram aktiveras.
Säkerhetsteam står nu inför ökad press att verifiera att patchning och saneringsprocesser faktiskt eliminerar sårbarheter helt istället för att bara minska risken delvis.
Slutsats
Incidenterna med SonicWalls VPN MFA-kringgående visar hur ofullständig sanering kan lämna organisationer sårbara även efter patchinstallation. Forskare uppgav att angripare lyckades kringgå autentiseringsskydd eftersom drabbade system inte genomfört alla nödvändiga konfigurationsuppdateringar.
När attacker mot VPN-infrastruktur fortsätter att öka måste organisationer säkerställa att alla säkerhetsåtgärder fullt ut hanterar varje del av offentliggjorda sårbarheter.
0 svar till ”SonicWall VPN MFA-bypass orsakades av ofullständiga säkerhetsfixar”