吳明宜SonicWall 第六代 SSL-VPN 裝置的多因素驗證 (MFA) 漏洞修補不完整,近期遭攻擊者利用有效憑證嘗試暴力破解,並在入侵後部署勒索軟體攻擊工具。
資安業者 ReliaQuest 表示,今年 2 月與 3 月曾阻止數起相關入侵事件。在這些事件中,攻擊者約花費 30 至 60 分鐘登入受害者網路,進行偵察活動,並測試 SonicWall 裝置是否存在密碼重複使用情形。
在其中一起事件中,攻擊者在不到一小時內存取與網域連結的檔案伺服器,並使用共用的本機管理員密碼建立 RDP 連線。隨後,攻擊者植入可與 C2(Command-and-Control, C2) 基礎架構連線的 Cobalt Strike Beacon,以及具有漏洞的驅動程式。 ReliaQuest 研判,攻擊者可能使用 Bring Your Own Vulnerable Driver(BYOVD) 手法,企圖關閉端點防護機制。
本文目錄
CVE-2024-12802 修補仍需手動調整 LDAP 設定
ReliaQuest 判斷,這幾起事件與鎖定第六代 SonicWallSSL-VPN 裝置的 CVE-2024-12802 漏洞有關,但受影響裝置似乎皆已安裝修補程式。
CVE-2024-12802 是 SonicWall 裝置在 MFA 存取流程中,對 UPN 格式驗證不當所造成的漏洞。攻擊者若持有有效憑證,可能直接通過驗證,進而繞過 MFA 防護。
SonicWall 先前已針對 CVE-2024-12802 釋出修補程式,但對部分裝置而言,單靠韌體更新並不足以完整修補。根據 SonicWall 安全公告,第七代與第八代裝置只要安裝最新韌體,即可解決 CVE-2024-12802 問題;但第六代裝置即使完成韌體更新,仍必須手動重新設定 LDAP 伺服器,否則攻擊者仍可能繞過 MFA 防護。
第六代裝置已進入生命週期終點
相隔兩年後,第六代 SonicWallSSL-VPN 裝置已於今年 4 月進入生命週期終點 (End-of-Life, EoL),產品已不再提供可下載的安全更新。對使用者而言,較穩妥的作法是升級至第七代或更新版本產品,並檢查 LDAP 設定與 VPN 存取控管是否符合 SonicWall 建議。