Incidenti e Violazioni

“Patchato” non significa protetto: attaccanti bypassano l’MFA sui VPN SonicWall Gen6 e raggiungono i file server in 30 minuti

Dario Fadda 22 Maggio 2026

C’è una categoria di vulnerabilità particolarmente insidiosa: quella delle patch che non funzionano perché nessuno ha seguito tutte le istruzioni. È esattamente quello che sta accadendo con i dispositivi SonicWall Gen6 SSL-VPN e CVE-2024-12802, con intrusioni ransomware già documentate in ambienti multipli tra febbraio e maggio 2026.

Il problema: patch firmware vs. rimedio reale

CVE-2024-12802 è una vulnerabilità di authentication bypass nelle appliance SonicWall SSL-VPN. La radice del problema sta in come SonicWall gestisce due diversi formati di login Active Directory: UPN (User Principal Name, il formato simile a un indirizzo email) e SAM (Security Account Manager, il formato legacy). L’enforcement dell’MFA è applicato indipendentemente a ciascun formato di login, non all’identità utente sottostante.

Un attaccante che conosce credenziali valide può autenticarsi usando il percorso UPN anche quando l’MFA è configurata, perché l’enforcement specifico per quel percorso è assente. L’aggiornamento firmware corregge la gestione delle sessioni, ma non rimuove la configurazione LDAP preesistente che consente il bypass. Come spiega ReliaQuest nel loro report: “Patching the firmware doesn’t remove the existing LDAP configuration that allows the bypass; the vulnerable configuration remains in place.”

La rimediazione completa richiede sei passaggi manuali aggiuntivi documentati nel security advisory SNWLID-2025-0001 di SonicWall: cancellare completamente la configurazione LDAP esistente e ricrearla senza il formato userPrincipalName su cui fa leva l’exploit. I workflow standard di patch management non sono progettati per verificare passi di riconfigurazione manuale — la versione firmware viene aggiornata, il controllo versione passa, il dispositivo sembra protetto. Non lo è.

L’exploitation osservata: dalla VPN al file server in 30 minuti

Tra febbraio e marzo 2026, i ricercatori di ReliaQuest hanno documentato quella che valutano come la prima exploitation in-the-wild di CVE-2024-12802 in ambienti multipli. Il pattern di intrusione osservato è stato consistente tra gli incidenti: gli attaccanti eseguono brute force delle credenziali VPN, bypassano l’MFA usando il percorso UPN vulnerabile, e si muovono rapidamente all’interno delle reti.

In alcuni casi, bastano 13 tentativi di brute force per ottenere credenziali valide. In un incidente specifico documentato da ReliaQuest, l’attaccante è passato dall’accesso VPN iniziale a un file server domain-joined, stabilendo una connessione RDP con una password locale condivisa di amministratore, in meno di trenta minuti.

Il comportamento post-compromissione è rivelatorio: dopo aver stabilito il foothold iniziale, l’attaccante ha tentato di distribuire un Cobalt Strike beacon per command-and-control e ha cercato di caricare un driver vulnerabile — probabilmente tramite la tecnica Bring Your Own Vulnerable Driver (BYOVD) per neutralizzare la protezione endpoint. L’EDR presente ha bloccato entrambi i tentativi. Ma l’attaccante si è disconnesso deliberatamente, è tornato giorni dopo usando account diversi, e ha ripetuto il pattern — comportamento più coerente con un initial access broker che valuta il valore della vittima che con un gruppo ransomware in fase di esecuzione immediata.

Il problema dei log: l’MFA sembra funzionare quando non funziona

Una delle caratteristiche più pericolose di questo attacco è il modo in cui appare nei log. Come riportano i ricercatori di ReliaQuest: “The rogue login attempts observed in the investigated incidents still appeared as a normal MFA flow in logs, leading defenders to believe that MFA worked even when it failed.”

Il segnale chiave da cercare nei log di autenticazione VPN è il valore sess="CLI", che indica autenticazione VPN scriptata o automatizzata. La maggior parte delle organizzazioni non monitora attivamente questo campo. I numeri di evento 238 e 1080 sono ulteriori indicatori da inserire nelle regole di alerting.

Dispositivi affetti e stato di fine vita

La vulnerabilità è specifica all’hardware Gen6, che include i modelli NSa 2700, NSa 3700, NSa 4700, NSa 5700 e NSa 6700 con firmware SonicOS 7.0 attraverso 7.1.1. Questo rappresenta un ulteriore problema: i dispositivi Gen6 hanno raggiunto il fine vita il 16 aprile 2026 e non ricevono più aggiornamenti di sicurezza.

Per i dispositivi Gen7 e Gen8, la situazione è diversa: gli aggiornamenti firmware alle versioni 7.2.0-7015 e 8.0.1-8017 incorporano già i passi di rimediazione descritti nell’advisory, e dopo l’upgrade è nuovamente supportato l’uso di userPrincipalName nelle configurazioni LDAP. Il problema è esclusivo al parco installato Gen6.

I settori più colpiti nei casi documentati includono servizi finanziari, sanità e manifatturiero, suggerendo un threat actor con conoscenza specifica del settore e obiettivi di alto valore economico.

Indicatori di compromissione e detection

# LOG INDICATORS (SonicWall SSL-VPN authentication logs)
sess="CLI"          # Autenticazione VPN automatizzata/scriptata - indicatore chiave
Event ID 238        # Evento da monitorare in correlazione con sess=CLI
Event ID 1080       # Evento da monitorare in correlazione con sess=CLI

# BEHAVIORAL INDICATORS
- Accessi VPN da IP appartenenti a VPS o infrastruttura VPN
- Autenticazioni UPN riuscite per account con MFA configurata
- Brute force con numero basso di tentativi (anche solo 13)
- RDP da sistemi interni verso file server entro 30 minuti dall'accesso VPN
- Installazione di Cobalt Strike beacon post-compromissione
- Tentativi di caricamento driver vulnerabili (BYOVD)

# CVE
CVE-2024-12802 - SonicWall SSL-VPN Authentication Bypass (MFA bypass via UPN path)
Advisory: SNWLID-2025-0001

Due righe per i difensori

  • Verifica rimediazione completa: Non basta che il firmware sia aggiornato. Seguire tutti e sei i passaggi manuali dell’advisory SNWLID-2025-0001 di SonicWall — questo include cancellare e ricreare la configurazione LDAP senza userPrincipalName.
  • Caccia retroattiva nei log: Cercare sess="CLI" nei log di autenticazione VPN degli ultimi mesi. Se presente insieme ad autenticazioni “riuscite” per account con MFA attiva, la protezione potrebbe essere stata bypassata in precedenza.
  • Migrazione Gen6: Considerare la migrazione urgente da Gen6 a Gen7/Gen8, dato il fine vita raggiunto ad aprile 2026. Non ci saranno patch per vulnerabilità future su questo hardware.
  • Monitoraggio accessi VPN da range anomali: Alerting su login VPN originati da IP di VPS provider o range VPN, specialmente per account con MFA configurata.
  • Correlazione eventi 238 e 1080: Aggiungere questi event ID alle regole SIEM in correlazione con il campo sess=”CLI”.
  • Revisione LDAP: Verificare che la configurazione LDAP attiva non contenga userPrincipalName come formato di lookup.

Il takeaway più importante di questa vicenda non è tecnico, ma procedurale: i workflow di patch management standard non sono progettati per verificare passi di riconfigurazione manuale. Una patch applicata non è necessariamente una vulnerabilità chiusa. In contesti di sicurezza perimetrale, questo principio va internalizzato nei processi di verifica post-patch.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su “Patchato” non significa protetto: attaccanti bypassano l’MFA sui VPN SonicWall Gen6 e raggiungono i file server in 30 minuti, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ le newsletter ]]