vulnerabilidad CVE-2024-12802 de SonicWall
La vulnerabilidad CVE-2024-12802 afecta la forma en que los dispositivos VPN de SonicWall manejan la autenticación multifactor (MFA) para las cuentas de los directorios de empresas. Dependiendo del formato elegido durante el inicio de sesión, ya sea UPN (User Principal Name) o SAM (Security Account Manager), el segundo factor de autenticación puede no aplicarse correctamente. Esto crea una brecha que un atacante podría aprovechar, permitiendo el acceso al VPN a pesar de que la MFA debería haberlo bloqueado.
Parché y configuración insuficiente
SonicWall publicó su aviso de seguridad en enero de 2025, proporcionando versiones actualizadas de SonicOS para mitigar esta vulnerabilidad. Sin embargo, en los equipos Gen6, la actualización por sí sola no resuelve el problema. Es necesaria una reconfiguración manual de LDAP para asegurar que la MFA funcione correctamente. En varios entornos analizados por ReliaQuest, no se llevó a cabo esta reconfiguración, lo que permitió que los atacantes eludieran la MFA, incluso después de aplicar el parche.
Actividades de los atacantes
Una vez conectados al VPN, los atacantes realizaron una serie de acciones peligrosas, como mapear las recursos accesibles y probar la reutilización de credenciales en otros sistemas internos. En al menos un caso, intentaron desplegar Cobalt Strike, una herramienta utilizada comúnmente para llevar a cabo ataques cibernéticos, y un controlador vulnerable destinado a debilitar las protecciones EDR (Endpoint Detection and Response) y antivirus. Estas acciones son características de la fase de preparación que se observa antes de los ataques por ransomware.
Recomendaciones para administradores de SonicWall Gen6
Si todavía administras dispositivos SonicWall Gen6 y no has realizado la reconfiguración de LDAP, es crucial que lo hagas de inmediato. Además, se recomienda:
Monitorear los registros de autenticación: Presta especial atención a las señales como
sess="CLI"que pueden indicar intentos de conexión automatizados.Revisar los derechos de las cuentas VPN: Asegúrate de que solo los usuarios autorizados tengan acceso.
Considerar el reemplazo de equipos: Los modelos Gen6 han alcanzado su fin de vida, que fue el 16 de abril pasado. Evaluar la migración a nuevas versiones garantizará que tu infraestructura esté mejor protegida contra futuras amenazas.
Conclusión
La vulnerabilidad CVE-2024-12802 resalta la importancia de no solo aplicar parches, sino también realizar configuraciones correctas y completas en los dispositivos de seguridad. La prevención de ataques es un esfuerzo continuo que requiere atención constante. La reconfiguración y la supervisión regular son pasos vitales para mantener la seguridad en tu red VPN.
About the Author
