SonicWall SSL-VPN MFA繞過漏洞CVE-2024-12802遭野外利用植入後門
漏洞概覽
- CVE編號: CVE-2024-12802
- CVSS評分: 9.1(重大)
- 漏洞類型: MFA繞過
- 影響設備: SonicWall SSL-VPN Gen 6
整合 Microsoft Active Directory 時,UPN 與 SAM 帳號名稱分別處理,導致不同登入方法可獨立設定 MFA,攻擊者可用另一帳號名繞過 MFA。
攻擊行動
ReliaQuest 於 2025 年 2、3 月發現首次實際濫用,整個初始入侵不到 30 分鐘:
- 暴力破解 SonicWall Gen 6 SSL VPN 帳號
- 繞過 MFA,取得 VPN 存取權限
- 進入內部檔案伺服器
- 以共享管理密碼建立 RDP 連線
- 安裝 Cobalt Strike beacon(C2)
- 使用 BYOVD 手法關閉 EDR
- 目標:竊取資料或部署勒索軟體
修補問題
- SonicWall 於 2025 年 3 月釋出韌體更新
- Gen 6 設備:僅安裝韌體不足,需依安全公告
SNWLID-2025-0001手動完成 LDAP 額外 6 項配置 - Gen 7 及以後版本:更新韌體即可
建議防禦措施
- Gen 6 用戶依
SNWLID-2025-0001完成手動 LDAP 配置 - 使用 WDAC(Windows Defender Application Control)防堵惡意驅動
- 檢查 VPN 帳號,避免共用本地管理員憑證
來源文章
相關頁面
- sonicwall — 設備製造商