Vulnerabilidade Crítica em VPN SonicWall Exige Ação Imediata de Segurança

Lead

Uma falha de segurança crítica em roteadores e firewalls SonicWall Gen6 está sendo ativamente explorada por grupos de ransomware desde fevereiro de 2026. A vulnerabilidade CVE-2024-12802 permite que invasores contornem a autenticação multifator (MFA) com credenciais roubadas, abrindo caminho para ataques ransomware em larga escala. A SonicWall alertou que apenas atualizar o firmware não resolve completamente o problema — uma reconfiguração manual obrigatória é necessária.

Contexto da Vulnerabilidade

A CVE-2024-12802 reside no mecanismo de autenticação do SonicWall SSL VPN Gen6, específica ao protocolo de formato de login UPN (User Principal Name). O defeito: quando um usuário faz login usando o formato UPN, a aplicação da autenticação multifator não é forçada, permitindo que atacantes com credenciais válidas roubadas acessem o sistema sem passar pela verificação de segundo fator. Essa falha é particularmente grave porque, em ambientes corporativos, credenciais de VPN frequentemente circulam entre fornecedores, parceiros e prestadores de serviço, elevando a superfície de ataque.

Exploração Ativa e Impacto Documentado

A exploração dessa vulnerabilidade foi documentada por pesquisadores de segurança e atribuída ao grupo de ransomware Akira. Segundo análises técnicas, uma vez dentro da VPN, os invasores conseguem concluir a cadeia de ataque em 30 a 60 minutos: reconhecimento de rede, teste de reutilização de credenciais, e implantação de ferramentas como Cobalt Strike e drivers vulneráveis para movimento lateral. O padrão "sess='CLI'" foi identificado como indicador de autenticação automatizada em logs de ataques bem-sucedidos. Organizações com Gen6 enfrentam risco crítico, especialmente porque esses dispositivos atingiram fim de suporte (EOL) em 16 de abril de 2026.

Mitigação: Firmware Não É Suficiente

A SonicWall disponibilizou patches de firmware para os dispositivos Gen6 afetados. No entanto, atualizar o firmware sozinho não mitiga completamente a vulnerabilidade. Organizações precisam executar uma reconfiguração manual do servidor LDAP em seis etapas: deletar a configuração LDAP existente que usa userPrincipalName, remover usuários LDAP em cache, eliminar a "User Domain" configurada do SSL VPN, reiniciar o firewall, recriar a configuração LDAP sem userPrincipalName, e gerar novo backup (essencial para evitar restaurações que reintroduçam a vulnerabilidade). Essa sequência é crítica e não pode ser saltada.

Chamada à Ação

Organizações que operam SonicWall Gen6 devem tratar essa remediação como prioridade máxima. A combinação de exploração ativa, janela de acesso rápido (30-60 minutos) e capacidade de implantação de ransomware transforma essa vulnerabilidade em risco imediato de negócio. Equipes de infraestrutura devem: (1) aplicar o firmware mais recente, (2) executar a reconfiguração LDAP completa conforme descrito pela SonicWall, (3) revisar logs de VPN para sinais de "sess='CLI'" ou acessos anormais, e (4) considerar migração para soluções SonicWall mais recentes caso a atualização não seja possível. A segurança de acesso remoto é agora a linha de frente contra ransomware — negligência aqui é negligência crítica.

Fonte original: SempreUpdate – Segurança