CVE-2024-40766 SonicWall : le patch ne suffit pas, les configurations restent vulnérables

🔍 Contexte Analyse publiĂ©e le 23 juin 2026 par Manuel Humberto Santander PelĂĄez (SANS Internet Storm Center), portant sur deux annĂ©es d’exploitation active de CVE-2024-40766, une vulnĂ©rabilitĂ© d’accĂšs non autorisĂ© (CVSS 9.3) dans SonicOS affectant les pare-feux Gen 5, Gen 6 et Gen 7 de SonicWall. 🎯 VulnĂ©rabilitĂ©s concernĂ©es CVE-2024-40766 : Improper access control dans SonicOS, affectant l’interface de gestion et le service SSLVPN. Advisory SNWLID-2024-0015 publiĂ© en aoĂ»t 2024. CVE-2024-12802 : Bypass d’authentification MFA sur SSLVPN SonicWall, exploitĂ© in-the-wild dĂšs fĂ©vrier-mars 2026. Sur Gen 6, le patch firmware seul ne remĂ©die pas la faille — 6 Ă©tapes manuelles de reconfiguration LDAP sont requises. Les Gen 6 ont atteint leur end-of-life le 16 avril 2026, sans plus aucun patch de sĂ©curitĂ© disponible. đŸ‘„ Acteurs de la menace Akira ransomware : exploitation documentĂ©e depuis septembre 2024, reprĂ©sentant 75% des intrusions. Dwell time documentĂ© sous 4 heures, certains cas en 55 minutes. Fog ransomware : exploitation parallĂšle, reprĂ©sentant ~25% des intrusions sur la mĂȘme pĂ©riode. En octobre 2025, Huntress a documentĂ© plus de 100 comptes SSLVPN compromis dans 16 environnements clients en une seule vague, via des credentials valides (pas de brute-force). 🔓 Vecteurs d’exploitation post-patch Comptes locaux obsolĂštes : 12/14 pare-feux auditĂ©s avaient des comptes SSLVPN sans Ă©quivalent Active Directory, dont certains avec des caractĂšres non imprimables (indicateur de crĂ©ation automatisĂ©e par tooling d’exploitation). Absence de rotation des mots de passe : 11/14 pare-feux n’avaient pas changĂ© les credentials locaux aprĂšs la mise Ă  jour firmware. LDAP Default User Group mal configurĂ© : 9/14 pare-feux accordaient implicitement l’accĂšs SSLVPN Ă  tous les comptes AD authentifiĂ©s via LDAP. Dans un cas, ce groupe donnait aussi l’accĂšs administrateur Ă  l’interface de gestion. Virtual Office Portal exposĂ© : 7/14 pare-feux avaient le portail d’enrollment MFA/TOTP accessible depuis Internet, permettant Ă  un attaquant d’enrĂŽler son propre dispositif TOTP avec des credentials valides. Breach MySonicWall (septembre 2025) : SonicWall a confirmĂ© une compromission de sa plateforme cloud avec accĂšs aux fichiers de sauvegarde de configuration contenant des credentials chiffrĂ©s — initialement annoncĂ© comme <5% des clients, puis confirmĂ© comme affectant la totalitĂ© des backups. 📊 Indicateurs de sessions suspectes Sessions depuis des ASN d’hĂ©bergeurs/VPS durant les heures creuses, durĂ©es de 40 Ă  60 heures Sessions sur des comptes locaux dĂ©sactivĂ©s dans AD depuis plus d’un an, restant actives aprĂšs le patch Type de session sess="CLI" dans les logs d’authentification SonicWall : indicateur d’outillage automatisĂ© (documentĂ© par ReliaQuest en mai 2026) Transition sess="CLI" → sess="GMS" : signal fort d’une activitĂ© hands-on-keyboard aprĂšs credential testing automatisĂ© đŸ§© Type d’article Analyse technique post-mortem combinant retour d’audit terrain (14 pare-feux), chronologie d’exploitation sur deux ans, et extraction de rĂšgles de dĂ©tection. But principal : documenter l’écart entre un pare-feu « patchĂ© » et un pare-feu rĂ©ellement durci. ...

26 juin 2026 Â· 4 min

CVE-2024-12802 : exploitation active de SonicWall SSL VPN malgré le patch firmware

🔍 Contexte PubliĂ© le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observĂ©es entre fĂ©vrier et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnĂ©rabilitĂ© de contournement d’authentification dans les appliances SonicWall SSL VPN. 🎯 VulnĂ©rabilitĂ© et mĂ©canisme d’exploitation CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la maniĂšre dont le MFA est appliquĂ© selon le format de login utilisĂ© : ...

21 mai 2026 Â· 4 min
Derniùre mise à jour le: 8 juillet 2026 📝