舊款SonicWall SSL-VPN設備多因素驗證漏洞未補全，被駭客破解植入後門

ReliaQuest今年2、3月發現數起攻擊行動，判斷為SonicWall SSL-VPN裝置CVE-2024-12802首次實際濫用攻擊活動。CVE-2024-12802為2025年初揭露的多因素驗證（MFA）漏洞，出在當它整合Microsoft Active Directory時，會分別處理UPN（User Principal Name）和SAM（Security Account Manager）帳號名稱，導致不同登入方法可獨立設定MFA，而讓攻擊者得以使用另一個帳號名而繞過MFA。這是一個CVSS風險9.1的重大漏洞。

在資安業者發現的攻擊中，攻擊者以暴力破解SonicWall Gen 6設備的SSL VPN帳號後，繞過MFA而得以VPN存取受害組織內部檔案伺服器。整個過程不到30分鐘，比多數SOC手動發送單一警告時間都短。之後攻擊者在系統內以複雜手法建立勒索軟體攻擊管道；攻擊者先以共享管理密碼建立遠端桌面協定（RDP）連線，再試圖安裝用於C2伺服器的Cobalt Strike beacon，以及BYOVD（Bring Your Own Vulnerable Driver）手法關閉端點偵測與回應（EDR）。研究人員判斷，這是為了之後要竊取資料或部署勒索軟體。

SonicWall早在2025年3月即已釋出韌體更新解決本漏洞。至於何以今年初仍發生攻擊，ReliaQuest說明原因。在Gen 6裝置上，他們相信，單單安裝韌體不足以解決CVE-2024-12802，裝置管理員仍然依據安全公告SNWLID-2025-0001中所提供、手動進行LDAP的額外6項配置。但標準修補程式管理工作流程並沒有驗證這段。所以Gen 6裝置看似修補好，但仍然可被濫用。

Gen 7和以後版本設備則沒有這問題，管理員只要完成更新韌體就可確保安全。研究人員提醒，對單單仰賴韌體版本來確認修補完成與否的組織來說，這盲點並不只影響SonicWall。

最後，資安廠商建議SonicWall SSL VPN Gen 6用戶應依據廠商安全公告完成修補。此外，根據這波攻擊，他們呼籲用戶利用Windows Defender Application Control（WDAC）等產品防堵已知問題驅動程式，並且檢查VPN帳號及避免共用本地管理員憑證。