В начале 2025 года была раскрыта уязвимость CVE-2024-12802 в устройствах SonicWall SSL VPN, позволяющая обходить аутентификацию. Однако, как выяснилось, просто установить обновление прошивки недостаточно. Специалисты компании ReliaQuest в период с февраля по март 2026 года зафиксировали реальные атаки на эту уязвимость. Злоумышленники использовали автоматизированный перебор паролей и обходили многофакторную аутентификацию (MFA, метод защиты, требующий подтверждения входа с помощью второго фактора). Особую опасность представляет ситуация с устройствами шестого поколения: после установки патча необходимо выполнить ещё шесть ручных действий по перенастройке. Без них система остаётся уязвимой, хотя в панелях управления она отображается как обновлённая.
Описание
Речь идёт о критической проблеме для организаций, использующих VPN-устройства SonicWall для удалённого доступа к корпоративной сети. Устройства шестого поколения (Gen6) широко распространены в малом и среднем бизнесе, а также часто встречаются в инфраструктуре, унаследованной после слияний и поглощений. В апреле 2026 года для этих устройств закончился срок поддержки, однако многие компании продолжают их эксплуатировать. В отчёте ReliaQuest описывается атака, в которой злоумышленнику хватило всего 13 попыток перебора, чтобы найти верную пару логин-пароль. После успешного входа через VPN в течение 30 минут атакующий добрался до внутреннего файлового сервера и начал развёртывать инструменты, характерные для подготовки к атаке с использованием программ-вымогателей.
Проблема в том, как именно работает обход аутентификации. SonicWall SSL VPN поддерживает два формата входа при использовании Active Directory: учётная запись в формате UPN (User Principal Name, полное имя пользователя с доменом, например user@domain.com) и в формате SAM (Security Account Manager, имя домена и логин, DOMAIN\username). Уязвимость возникает из-за того, что защита MFA применяется раздельно для каждого формата. Если, например, MFA настроена для UPN, но не для SAM, злоумышленник может авторизоваться через незащищённый формат как легитимный пользователь. При этом в логах будет зафиксирован запрос одноразового пароля, но аутентификация пройдёт без его ввода. Для системы это выглядит как обычный успешный вход - никаких предупреждений о пропущенном втором факторе не возникает.
Ключевой индикатор атак, выявленный ReliaQuest, - значение sess="CLI" в журналах аутентификации SonicWall. Этот тип сессии указывает на автоматизированное подключение через командную строку, которое используется для быстрого перебора учётных данных. После успешного входа тип сессии меняется на sess="GMS", что означает переход атакующего к интерактивной работе с внутренними ресурсами. Организациям, которые пока не отслеживают sess="CLI" в своих логах, стоит немедленно включить сбор этих событий и передачу их в SIEM-систему (программный комплекс для управления событиями информационной безопасности и корреляции данных). При этом важно отличать автоматизированные атаки от легитимного использования скриптов для VPN, если такое в компании практикуется.
В одной из атак, которую удалось прервать на ранней стадии, злоумышленник после доступа к файловому серверу попытался загрузить бэкдор Cobalt Strike и применить технику BYOVD. Система обнаружения на конечных точках заблокировала обе попытки. После этого атакующий вручную просматривал файлы на сервере с помощью Notepad, надеясь найти учётные данные в конфигурациях и скриптах. Без вмешательства EDR, по оценке ReliaQuest, атака с высокой вероятностью привела бы к утечке данных или шифрованию корпоративной сети программами-вымогателями.
Выводы для специалистов по информационной безопасности таковы. Во-первых, нельзя полагаться только на номер версии прошивки при проверке устранения уязвимости. На устройствах Gen6 необходимо убедиться, что выполнены все шесть шагов перенастройки LDAP (протокол облегчённого доступа к каталогам), описанных в бюллетене SonicWall SNWLID-2025-0001. Во-вторых, стоит внедрить блокировку известных уязвимых драйверов - например, с помощью политик Windows Defender Application Control. В-третьих, следует пересмотреть права учётных записей VPN, ограничив их только необходимыми привилегиями, и использовать уникальные локальные пароли администратора для каждого устройства (например, с помощью решения LAPS). Наконец, мониторинг журналов аутентификации SonicWall на предмет sess="CLI" и быстрая реакция на такие события могут выявить атаку на стадии перебора, когда ущерб ещё не нанесён.
История с CVE-2024-12802 - не единичный случай. Аналогичная проблема возникала с уязвимостью CVE-2023-4966 (Citrix Bleed), когда после установки патча требовалось вручную завершить все активные сессии и сменить учётные данные. Подобные пробелы между "заплаткой" и полным исправлением остаются слабым местом стандартных процессов управления обновлениями. Устройства SonicWall шестого поколения после завершения срока поддержки вряд ли быстро исчезнут из сетей, поэтому проверка всех шагов устранения уязвимости должна стать обязательной процедурой для любой компании, использующей такое оборудование.
Индикаторы компрометации
IPv4
- 193.160.216.221
- 69.10.60.250
SHA256
- 6a6aaeed4a6bbe82a08d197f5d40c2592a461175f181e0440e0ff45d5fb60939
- b31f5a27ab615d2b48a690b227775b7103701151345569e2e4002c36da32cadb
