CVE-2024-12802 : exploitation active de SonicWall SSL VPN malgré le patch firmware

🔍 Contexte

Publié le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observées entre février et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnérabilité de contournement d’authentification dans les appliances SonicWall SSL VPN.

🎯 Vulnérabilité et mécanisme d’exploitation

CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la manière dont le MFA est appliqué selon le format de login utilisé :

• UPN : user@domain.com
• SAM : DOMAIN\username

Le MFA est configuré par format de nom de compte, non par identité utilisateur. Un attaquant peut s’authentifier via le format non protégé et contourner le MFA silencieusement — aucune alerte d’échec MFA, aucun flag d’anomalie n’est généré.

Sur les appareils Gen6, le patch firmware seul ne remédie pas la vulnérabilité : six étapes manuelles de reconfiguration LDAP sont requises après la mise à jour (advisory SNWLID-2025-0001). La configuration LDAP vulnérable (basée sur userPrincipalName) reste en place après le patch. Les appareils Gen7 et supérieurs sont entièrement corrigés par le firmware.

🕐 Chronologie et pattern d’attaque

ReliaQuest évalue avec confiance moyenne qu’il s’agit de la première exploitation in-the-wild de cette CVE :

• Brute-force automatisé via session type sess="CLI" dans les logs SonicWall
• Aussi peu que 13 tentatives suffisent pour trouver des identifiants valides
• Plusieurs comptes compromis par événement de brute-force
• Reconnaissance réseau interne (sweep, test de réutilisation de credentials)
• Déconnexion volontaire puis retour jours plus tard avec d’autres comptes → comportement cohérent avec un Initial Access Broker (IAB)
• Durée totale : 30 à 60 minutes par intrusion

💥 Cas d’escalade documenté

Dans un cas, en 40 minutes :

1. Authentification VPN via CVE-2024-12802
2. Accès à un serveur de fichiers domain-joined via RDP (mot de passe administrateur local partagé)
3. Tentative de déploiement d’un beacon Cobalt Strike (bloqué par EDR)
4. Tentative d’attaque BYOVD pour désactiver l’EDR (bloquée)
5. Revue manuelle de fichiers via Notepad à la recherche de credentials

🔎 Signal de détection

• sess="CLI" dans les logs d’authentification SonicWall = authentification automatisée
• Transition sess="CLI" → sess="GMS" = passage à une activité interactive
• Event ID 238 (échec login VPN) et 1080 (succès SSL VPN) à corréler
• IPs sources sur des plages ASN abusées (infrastructure VPN/VPS)

📌 IOCs publiés

• MD5 : 6a6aaeed4a6bbe82a08d197f5d40c259 (exécutable désactivant l’EDR)
• MD5 : 2a461175f181e0440e0ff45d5fb60939
• MD5 : b31f5a27ab615d2b48a690b227775b710 (fichier malveillant)
• MD5 : 3701151345569e2e4002c36da32cadb
• IP : 69.10.60.250 (logins interactifs SonicWall)
• IP : 193.160.216.221 (logins interactifs SonicWall)

📄 Nature de l’article

Rapport d’incident et analyse technique produit par une équipe de threat research, visant à documenter une campagne d’exploitation active, fournir des signaux de détection et contextualiser le risque lié aux appareils Gen6 en fin de vie.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Akira (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1110.001 — Brute Force: Password Guessing (Credential Access)
• T1078 — Valid Accounts (Defense Evasion)
• T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
• T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1588.002 — Obtain Capabilities: Tool (Resource Development)
• T1083 — File and Directory Discovery (Discovery)
• T1018 — Remote System Discovery (Discovery)
• T1550.002 — Use Alternate Authentication Material: Pass the Hash (Lateral Movement)
• T1657 — Financial Theft (Impact)
• T1486 — Data Encrypted for Impact (Impact)

IOC

• IPv4 : 69.10.60.250 — AbuseIPDB · VT · ThreatFox
• IPv4 : 193.160.216.221 — AbuseIPDB · VT · ThreatFox
• MD5 : 6a6aaeed4a6bbe82a08d197f5d40c259 — VT · MalwareBazaar
• MD5 : 2a461175f181e0440e0ff45d5fb60939 — VT · MalwareBazaar
• MD5 : b31f5a27ab615d2b48a690b227775b710 — VT · MalwareBazaar
• MD5 : 3701151345569e2e4002c36da32cadb — VT · MalwareBazaar
• CVEs : CVE-2024-12802 — NVD · CIRCL
• CVEs : CVE-2023-4966 — NVD · CIRCL

Malware / Outils

• Cobalt Strike (framework)
• BYOVD EDR killer (tool)

🟢 Indice de vérification factuelle : 72/100 (haute)

• ⬜ reliaquest.com — source non référencée (0pts)
• ✅ 23690 chars — texte complet (fulltext extrait) (15pts)
• ✅ 8 IOCs dont des hashes (15pts)
• ✅ 2/2 IOCs confirmés (AbuseIPDB, ThreatFox, VirusTotal) (12pts)
• ✅ 12 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Akira (5pts)
• ⬜ 0/2 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

• 69.10.60.250 (ip) → VT (7/91 détections)
• 193.160.216.221 (ip) → VT (6/91 détections)

🔗 Source originale : https://reliaquest.com/blog/threat-spotlight-vpn-exploitation-when-patched-doesnt-mean-protected/