đ Contexte Analyse publiĂ©e le 23 juin 2026 par Manuel Humberto Santander PelĂĄez (SANS Internet Storm Center), portant sur deux annĂ©es dâexploitation active de CVE-2024-40766, une vulnĂ©rabilitĂ© dâaccĂšs non autorisĂ© (CVSS 9.3) dans SonicOS affectant les pare-feux Gen 5, Gen 6 et Gen 7 de SonicWall.
đŻ VulnĂ©rabilitĂ©s concernĂ©es CVE-2024-40766 : Improper access control dans SonicOS, affectant lâinterface de gestion et le service SSLVPN. Advisory SNWLID-2024-0015 publiĂ© en aoĂ»t 2024. CVE-2024-12802 : Bypass dâauthentification MFA sur SSLVPN SonicWall, exploitĂ© in-the-wild dĂšs fĂ©vrier-mars 2026. Sur Gen 6, le patch firmware seul ne remĂ©die pas la faille â 6 Ă©tapes manuelles de reconfiguration LDAP sont requises. Les Gen 6 ont atteint leur end-of-life le 16 avril 2026, sans plus aucun patch de sĂ©curitĂ© disponible. đ„ Acteurs de la menace Akira ransomware : exploitation documentĂ©e depuis septembre 2024, reprĂ©sentant 75% des intrusions. Dwell time documentĂ© sous 4 heures, certains cas en 55 minutes. Fog ransomware : exploitation parallĂšle, reprĂ©sentant ~25% des intrusions sur la mĂȘme pĂ©riode. En octobre 2025, Huntress a documentĂ© plus de 100 comptes SSLVPN compromis dans 16 environnements clients en une seule vague, via des credentials valides (pas de brute-force). đ Vecteurs dâexploitation post-patch Comptes locaux obsolĂštes : 12/14 pare-feux auditĂ©s avaient des comptes SSLVPN sans Ă©quivalent Active Directory, dont certains avec des caractĂšres non imprimables (indicateur de crĂ©ation automatisĂ©e par tooling dâexploitation). Absence de rotation des mots de passe : 11/14 pare-feux nâavaient pas changĂ© les credentials locaux aprĂšs la mise Ă jour firmware. LDAP Default User Group mal configurĂ© : 9/14 pare-feux accordaient implicitement lâaccĂšs SSLVPN Ă tous les comptes AD authentifiĂ©s via LDAP. Dans un cas, ce groupe donnait aussi lâaccĂšs administrateur Ă lâinterface de gestion. Virtual Office Portal exposĂ© : 7/14 pare-feux avaient le portail dâenrollment MFA/TOTP accessible depuis Internet, permettant Ă un attaquant dâenrĂŽler son propre dispositif TOTP avec des credentials valides. Breach MySonicWall (septembre 2025) : SonicWall a confirmĂ© une compromission de sa plateforme cloud avec accĂšs aux fichiers de sauvegarde de configuration contenant des credentials chiffrĂ©s â initialement annoncĂ© comme <5% des clients, puis confirmĂ© comme affectant la totalitĂ© des backups. đ Indicateurs de sessions suspectes Sessions depuis des ASN dâhĂ©bergeurs/VPS durant les heures creuses, durĂ©es de 40 Ă 60 heures Sessions sur des comptes locaux dĂ©sactivĂ©s dans AD depuis plus dâun an, restant actives aprĂšs le patch Type de session sess="CLI" dans les logs dâauthentification SonicWall : indicateur dâoutillage automatisĂ© (documentĂ© par ReliaQuest en mai 2026) Transition sess="CLI" â sess="GMS" : signal fort dâune activitĂ© hands-on-keyboard aprĂšs credential testing automatisĂ© đ§© Type dâarticle Analyse technique post-mortem combinant retour dâaudit terrain (14 pare-feux), chronologie dâexploitation sur deux ans, et extraction de rĂšgles de dĂ©tection. But principal : documenter lâĂ©cart entre un pare-feu « patchĂ© » et un pare-feu rĂ©ellement durci.
...