CVE-2024-40766 SonicWall : le patch ne suffit pas, les configurations restent vulnérables

🔍 Contexte

Analyse publiée le 23 juin 2026 par Manuel Humberto Santander Peláez (SANS Internet Storm Center), portant sur deux années d’exploitation active de CVE-2024-40766, une vulnérabilité d’accès non autorisé (CVSS 9.3) dans SonicOS affectant les pare-feux Gen 5, Gen 6 et Gen 7 de SonicWall.

🎯 Vulnérabilités concernées

• CVE-2024-40766 : Improper access control dans SonicOS, affectant l’interface de gestion et le service SSLVPN. Advisory SNWLID-2024-0015 publié en août 2024.
• CVE-2024-12802 : Bypass d’authentification MFA sur SSLVPN SonicWall, exploité in-the-wild dès février-mars 2026. Sur Gen 6, le patch firmware seul ne remédie pas la faille — 6 étapes manuelles de reconfiguration LDAP sont requises.
• Les Gen 6 ont atteint leur end-of-life le 16 avril 2026, sans plus aucun patch de sécurité disponible.

👥 Acteurs de la menace

• Akira ransomware : exploitation documentée depuis septembre 2024, représentant 75% des intrusions. Dwell time documenté sous 4 heures, certains cas en 55 minutes.
• Fog ransomware : exploitation parallèle, représentant ~25% des intrusions sur la même période.
• En octobre 2025, Huntress a documenté plus de 100 comptes SSLVPN compromis dans 16 environnements clients en une seule vague, via des credentials valides (pas de brute-force).

🔓 Vecteurs d’exploitation post-patch

• Comptes locaux obsolètes : 12/14 pare-feux audités avaient des comptes SSLVPN sans équivalent Active Directory, dont certains avec des caractères non imprimables (indicateur de création automatisée par tooling d’exploitation).
• Absence de rotation des mots de passe : 11/14 pare-feux n’avaient pas changé les credentials locaux après la mise à jour firmware.
• LDAP Default User Group mal configuré : 9/14 pare-feux accordaient implicitement l’accès SSLVPN à tous les comptes AD authentifiés via LDAP. Dans un cas, ce groupe donnait aussi l’accès administrateur à l’interface de gestion.
• Virtual Office Portal exposé : 7/14 pare-feux avaient le portail d’enrollment MFA/TOTP accessible depuis Internet, permettant à un attaquant d’enrôler son propre dispositif TOTP avec des credentials valides.
• Breach MySonicWall (septembre 2025) : SonicWall a confirmé une compromission de sa plateforme cloud avec accès aux fichiers de sauvegarde de configuration contenant des credentials chiffrés — initialement annoncé comme <5% des clients, puis confirmé comme affectant la totalité des backups.

📊 Indicateurs de sessions suspectes

• Sessions depuis des ASN d’hébergeurs/VPS durant les heures creuses, durées de 40 à 60 heures
• Sessions sur des comptes locaux désactivés dans AD depuis plus d’un an, restant actives après le patch
• Type de session sess="CLI" dans les logs d’authentification SonicWall : indicateur d’outillage automatisé (documenté par ReliaQuest en mai 2026)
• Transition sess="CLI" → sess="GMS" : signal fort d’une activité hands-on-keyboard après credential testing automatisé

🧩 Type d’article

Analyse technique post-mortem combinant retour d’audit terrain (14 pare-feux), chronologie d’exploitation sur deux ans, et extraction de règles de détection. But principal : documenter l’écart entre un pare-feu « patché » et un pare-feu réellement durci.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Akira (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
• Fog (cybercriminal) —

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1078 — Valid Accounts (Defense Evasion)
• T1078.002 — Valid Accounts: Domain Accounts (Defense Evasion)
• T1110 — Brute Force (Credential Access)
• T1110.004 — Brute Force: Credential Stuffing (Credential Access)
• T1556 — Modify Authentication Process (Credential Access)
• T1098 — Account Manipulation (Persistence)
• T1136 — Create Account (Persistence)
• T1005 — Data from Local System (Collection)
• T1486 — Data Encrypted for Impact (Impact)
• T1040 — Network Sniffing (Credential Access)
• T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)

IOC

• CVEs : CVE-2024-40766 — NVD · CIRCL
• CVEs : CVE-2024-12802 — NVD · CIRCL

Malware / Outils

• Akira (ransomware)
• Fog (ransomware)

🟢 Indice de vérification factuelle : 71/100 (haute)

• ✅ isc.sans.edu — source reconnue (liste interne) (20pts)
• ✅ 21512 chars — texte complet (fulltext extrait) (15pts)
• ✅ 2 IOC(s) (6pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 12 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Akira, Fog (5pts)
• ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://isc.sans.edu/diary/CVE202440766+The+Patch+Fixed+the+Bug+Nobody+Fixed+the+Configuration/33094/?is=e4f6b16c6de31130985364bb824bcb39ef6b2c4e902e4e553f0ec11bdbefc118