SonicWall SSL-VPN MFA繞過漏洞CVE-2024-12802遭野外利用植入後門

漏洞概覽

  • CVE編號: CVE-2024-12802
  • CVSS評分: 9.1(重大)
  • 漏洞類型: MFA繞過
  • 影響設備: SonicWall SSL-VPN Gen 6

整合 Microsoft Active Directory 時,UPN 與 SAM 帳號名稱分別處理,導致不同登入方法可獨立設定 MFA,攻擊者可用另一帳號名繞過 MFA。

攻擊行動

ReliaQuest 於 2025 年 2、3 月發現首次實際濫用,整個初始入侵不到 30 分鐘:

  1. 暴力破解 SonicWall Gen 6 SSL VPN 帳號
  2. 繞過 MFA,取得 VPN 存取權限
  3. 進入內部檔案伺服器
  4. 以共享管理密碼建立 RDP 連線
  5. 安裝 Cobalt Strike beacon(C2)
  6. 使用 BYOVD 手法關閉 EDR
  7. 目標:竊取資料或部署勒索軟體

修補問題

  • SonicWall 於 2025 年 3 月釋出韌體更新
  • Gen 6 設備:僅安裝韌體不足,需依安全公告 SNWLID-2025-0001 手動完成 LDAP 額外 6 項配置
  • Gen 7 及以後版本:更新韌體即可

建議防禦措施

  • Gen 6 用戶依 SNWLID-2025-0001 完成手動 LDAP 配置
  • 使用 WDAC(Windows Defender Application Control)防堵惡意驅動
  • 檢查 VPN 帳號,避免共用本地管理員憑證

來源文章

相關頁面