Erro na aplicação de correção da SonicWall permite burlar MFA em VPNs

Os atacantes contornaram a autenticação multifator (MFA) em VPNs SonicWall Gen6 corrigidas porque os administradores deixaram de seguir etapas manuais adicionais necessárias para corrigir completamente a falha.

Existe um tipo específico de falha de segurança mais difícil de detectar do que um sistema sem patches: um sistema com patches aplicados que, na verdade, não funcionaram porque ninguém seguiu todos os passos. É exatamente isso que está acontecendo agora com os appliances SonicWall Gen6 SSL-VPN e a vulnerabilidade CVE-2024-12802, o que já resultou em intrusões relacionadas a ransomware em diversas organizações.

Entre fevereiro e março de 2026, pesquisadores da ReliaQuest observaram o que consideram ser a primeira exploração em ambiente real da vulnerabilidade CVE-2024-12802 em múltiplos ambientes. A falha consiste em uma maneira de burlar a autenticação em VPNs da SonicWall, reduzindo a segurança ao acesso de fator único. Embora existam atualizações de firmware para dispositivos Gen6, a correção completa exige seis etapas manuais adicionais, frequentemente negligenciadas em fluxos de trabalho de aplicação de patches padrão, deixando os sistemas vulneráveis mesmo aparentando estarem corrigidos. Os invasores então realizaram ataques de força bruta em contas VPN, burlaram a autenticação multifator (MFA) e se movimentaram rapidamente dentro das redes, chegando, por vezes, a servidores de arquivos em menos de 30 minutos.

“Nas intrusões que observamos, os agentes de ameaças usaram força bruta para invadir contas VPN e burlaram a autenticação multifator (MFA) para obter acesso a redes internas. As ferramentas observadas eram consistentes com as utilizadas por agentes que operam no ecossistema de ransomware. Em alguns casos, apenas 13 tentativas de força bruta separavam um invasor de uma credencial válida. Em um ambiente, eles conseguiram acessar um servidor de arquivos em 30 minutos e implantaram ferramentas consistentes com o preparo prévio para ataques de ransomware”, diz a publicação da ReliaQuest. “As intrusões deixaram o mesmo sinal nos registros: um tipo de sessão associado à autenticação VPN automatizada, que a maioria das organizações provavelmente não monitora atualmente.”

A vulnerabilidade em si, CVE-2024-12802 , reside na forma como o SonicWall lida com dois formatos diferentes de login do Active Directory: UPN (User Principal Name, o formato que se assemelha a um endereço de e-mail) e SAM (Security Account Manager, o formato mais antigo). A aplicação da autenticação multifator (MFA) é feita a cada formato de login de forma independente, e não à identidade do usuário associada a ele. Um atacante que conheça credenciais válidas pode se autenticar usando o caminho UPN mesmo quando a MFA está configurada, porque a aplicação da MFA para esse caminho específico está ausente.

“A aplicação de um patch no firmware não remove a configuração LDAP (Lightweight Directory Access Protocol) existente que permite a exploração; a configuração vulnerável permanece no local”, continua a ReliaQuest. “A correção exige a exclusão completa dessa configuração e sua reconstrução sem o formato userPrincipalName do qual o exploit depende. O aviso da SonicWall (SNWLID-2025-0001) especifica seis etapas manuais adicionais.”

A SonicWall documentou tudo isso em seu comunicado , mas os fluxos de trabalho padrão de gerenciamento de patches não são projetados para verificar se as etapas de reconfiguração manual, as atualizações de firmware, a verificação de versão e se o dispositivo parece estar funcionando corretamente.

“A vulnerabilidade de bypass da MFA em SSL-VPN no SonicWALL SSL-VPN pode ocorrer em casos específicos devido ao tratamento separado dos nomes de conta UPN (User Principal Name) e SAM (Security Account Manager) quando integrado ao Microsoft Active Directory. Isso permite que a MFA seja configurada independentemente para cada método de login, possibilitando que invasores ignorem a MFA explorando o nome de conta alternativo”, diz o aviso . “IMPORTANTE: Para firewalls GEN7 e GEN8, incorporamos as etapas de correção descritas no aviso (seção de Comentários) nas versões 7.2.0-7015 e 8.0.1-8017. Essas versões também incluem melhorias de segurança adicionais. Após a atualização do firewall para a versão especificada, o uso do userPrincipalName nas configurações do servidor LDAP volta a ser compatível.”

Para dispositivos de 7ª e 8ª geração, isso não é um problema. Uma atualização de firmware é suficiente. O problema é específico do hardware de 6ª geração, que também chegou ao fim de sua vida útil em 16 de abril deste ano e não recebe mais atualizações de segurança — um detalhe que torna a discussão sobre a correção ainda mais urgente.

O padrão de intrusão observado pela ReliaQuest foi consistente em vários incidentes. Em um dos incidentes, o invasor passou do acesso inicial à VPN ao acesso a um servidor de arquivos ingressado no domínio e ao estabelecimento de uma conexão RDP usando uma senha de administrador local compartilhada em menos de trinta minutos.

O comportamento após essa conquista inicial foi revelador: o atacante tentou implantar um beacon do Cobalt Strike para comando e controle e tentou carregar um driver vulnerável, provavelmente para desativar a proteção do endpoint usando a técnica “Traga Seu Próprio Driver Vulnerável” (BYOVD). O EDR naquele sistema específico bloqueou ambas as tentativas. Mas o atacante se desconectou deliberadamente, voltou dias depois usando contas diferentes e repetiu o padrão, um comportamento mais consistente com um agente de acesso inicial avaliando o valor da vítima do que com um grupo de ransomware executando ataques imediatamente.

Um detalhe que tornou a detecção particularmente difícil, conforme mencionado no relatório.

“As tentativas de login fraudulentas observadas nos incidentes investigados ainda apareciam como um fluxo normal de MFA nos registros, levando os responsáveis pela segurança a acreditar que a MFA estava funcionando mesmo quando falhava. O sinal sess=’CLI’ é um indicador chave desses ataques, sugerindo autenticação VPN automatizada ou por script”, continua o relatório.

Em outras palavras, os registros mostravam o que parecia ser uma autenticação MFA bem-sucedida, não dando às equipes de segurança nenhum sinal óbvio de que algo estava errado.

Os IDs de evento 238 e 1080 são indicadores adicionais que valem a pena monitorar, juntamente com logins de VPN originados de VPS ou infraestrutura de VPN em vez dos locais esperados do usuário.

Se você estiver usando dispositivos SonicWall SSL-VPN de 6ª geração, confirme se a correção completa foi concluída, e não apenas se o firmware está atualizado. O processo de reconfiguração LDAP em seis etapas, descrito no aviso da SonicWall , é a solução definitiva. A versão do firmware por si só não é suficiente para garantir sua proteção.

A recomendação mais abrangente para hardware Gen6 é a migração para uma geração suportada, visto que o status de fim de vida útil significa que não haverá mais atualizações de segurança. Isso representa um projeto maior, mas a alternativa é executar uma infraestrutura de perímetro que não receberá correções para os próximos lançamentos.

Para os profissionais de segurança que estão analisando logs neste momento, vale a pena pesquisar o indicador `sess=”CLI”` nos logs de autenticação VPN no histórico recente. Se você o encontrar junto com autenticações bem-sucedidas para contas que deveriam estar protegidas por MFA, você tem um problema que é anterior a este aviso