Falha Crítica no SonicWall VPN Permite Bypass de Autenticação Multifator em Dispositivos Gen6
Vulnerabilidade CVE-2024-12802 no SonicWall VPN com CVSS 9.1 permite contornar autenticação multifator. Exploração ativa desde fevereiro de 2026 em múltiplos setores; Gen6 requer seis passos manuais de remediação além do patch de firmware.
A Vulnerabilidade Crítica
Uma falha grave no VPN SonicWall (CVE-2024-12802, CVSS 9.1) permite que atacantes contornarem completamente a autenticação multifator em modelos Gen6, comprometendo redes corporativas em múltiplos setores. A falha reside em um mecanismo de enforce incompleto de MFA no formato de login UPN (User Principal Name), permitindo que qualquer atacante com credenciais válidas ignore completamente a autenticação multifator.
Invisibilidade nos Logs
O vetor de ataque é particularmente perigoso porque não deixa evidências claras nos registros de auditoria. Pesquisadores da ReliaQuest documentaram que "tentativas de login fraudulentas ainda se parecem como fluxos normais de MFA" nos logs, criando uma falsa sensação de segurança para equipes de SOC e administradores.
Exploração Ativa em Field
Desde fevereiro e ao longo de março de 2026, pesquisadores da ReliaQuest confirmaram a primeira exploração em larga escala desta vulnerabilidade. Atacantes, munidos de ferramentas automatizadas, conseguiram completar compromissos iniciais de redes em apenas 30 a 60 minutos—revelando sofisticação operacional. A campanha abrangeu múltiplos setores e geografias, sugerindo uma ameaça coordenada.
Remediação Complexa para Gen6
A resposta é assimétrica: enquanto dispositivos Gen7 e Gen8 necessitam apenas da atualização de firmware, equipamentos Gen6 exigem um protocolo de seis etapas que inclui deletion de configurações LDAP existentes, remoção de usuários em cache, recriação manual de LDAP sem o formato UPN problemático, reboot obrigatório e nova cópia de segurança. O firmware isolado deixa a falha aberta.
Ação Imediata
Organizações com SonicWall Gen6 devem tratar isto como emergência. Primeiro: validar quais appliances estão afetados e auditar logs entre fevereiro até hoje em busca de acessos anormais. Segundo: planejar reboot em janela de manutenção. Terceiro: executar a reconfigução LDAP conforme especificado pela SonicWall. Ignorar a reconfiguração manual deixará a vulnerabilidade explorada, mesmo com o firmware atualizado.
Fonte: BleepingComputer - Hackers bypass SonicWall VPN MFA due to incomplete patching; Comunicado Oficial SonicWall; Pesquisa ReliaQuest.
Discussão no X
Intensidade da discussão: média