MFA-Bypass bei SonicWall: Hacker unterwandern VPN-Appliances

Cyberkriminelle umgehen die Multi-Faktor-Authentifizierung bei SonicWall-VPNs. Ein Firmware-Update allein reicht für den Schutz der Geräte nicht aus.

IT-Sicherheitsverantwortliche stehen vor einer kritischen Nachbesserungswelle bei älteren Netzwerkinfrastrukturen. Wie das Cybersicherheitsunternehmen ReliaQuest in einem aktuellen Untersuchungsbericht dokumentiert, ist es Bedrohungsakteuren gelungen, die Multi-Faktor-Authentifizierung (MFA) auf SSL-VPN-Appliances des Herstellers SonicWall der sechsten Generation (Gen6) systematisch zu umgehen. Die Angriffe basieren auf der Ausnutzung der Sicherheitslücke CVE-2024-12802. Das Besondere an diesem Angriffsvektor: Selbst Systeme, auf denen das neueste Firmware-Update des Herstellers eingespielt wurde, bleiben weiterhin verwundbar, sofern nicht spezifische manuelle Konfigurationsänderungen an den Systemen vorgenommen werden. Die Angreifer nutzen diese Lücke, um initiale Zugänge zu Firmennetzwerken zu erlangen und Ransomware-Angriffe vorzubereiten.

Fehlerhafte Validierung von Anmeldedaten

Der Ursprung der Sicherheitslücke CVE-2024-12802 liegt in einer fehlerhaften Validierung von Anmeldedaten innerhalb der Softwarearchitektur von SonicWall. Das System erzwingt die Multi-Faktor-Authentifizierung nicht, wenn die Anmeldung über das sogenannte User Principal Name Format (UPN, beispielsweise [email protected]) erfolgt. Erlangt ein Angreifer im Vorfeld gültige Zugangsdaten – etwa durch automatisierte Brute-Force-Angriffe oder Credential Stuffing –, kann er sich unter Ausnutzung dieses Formats direkt authentifizieren. Die MFA-Abfrage wird dabei vollständig übersprungen.

Für IT-Sicherheitsanalysten und Blue Teams ist die Erkennung dieser Angriffe im Live-Betrieb erschwerend. ReliaQuest wies nach, dass die unberechtigten Login-Versuche in den Systemprotokollen (Logs) als völlig normaler und erfolgreicher MFA-Fluss dargestellt werden. Dies wiegt Administratoren in trügerischer Sicherheit, da das Protokoll einen funktionierenden Schutzmechanismus ausweist, obwohl dieser in der Realität ausgehebelt wurde.

Hacker von SonicWall nutzen BYOVD-Techniken

Die von ReliaQuest zwischen Februar und März dokumentierten Einbrüche folgten einem stringenten und zeiteffizienten Muster. Die Angreifer benötigten im Durchschnitt lediglich 30 bis 60 Minuten pro Sitzung. In diesem Zeitfenster loggten sie sich ein, führten eine interne Netzwerkaufklärung (Reconnaissance) durch, überprüften die Wiederverwendung von Passwörtern auf internen Systemen und loggten sich anschließend gezielt wieder aus. In einem konkreten Vorfall gelang es den Hackern, innerhalb von nur einer halben Stunde tiefe Netzwerkrechte zu erlangen und eine Remoteverbindung über das Remote Desktop Protocol (RDP) zu einem domänenintegrierten Dateiserver aufzubauen. Hierbei nutzten sie ein geteiltes lokales Administrator-Passwort.

Auf dem Zielserver versuchten die Akteure, einen sogenannten Cobalt Strike Beacon für die Command-and-Control-Kommunikation (C2) zu etablieren. Zudem führten sie einen verwundbaren Treiber mit, um die Abwehrmethode „Bring Your Own Vulnerable Driver“ (BYOVD) anzuwenden. Mit dieser Taktik versuchen Angreifer, legitime, aber fehlerhafte Treiber im System zu laden, um installierte Endpoint-Detection-and-Response-Lösungen (EDR) auf Kernel-Ebene gezielt zu deaktivieren. Im aktuellen Fall schlug dieser Versuch jedoch fehl, da die installierte EDR-Software das Laden des Treibers und den Beacon blockierte. Aufgrund des gezielten Ausloggens und des erneuten Einwählens Tage später mit veränderten Konten bewerten die Forscher die Akteure mit mittlerer Zuverlässigkeit als Initial Access Broker (IAB), die kompromittierte Zugänge gewinnbringend an Ransomware-Banden wie die Akira-Gruppe weiterverkaufen.

Notwendige manuelle LDAP-Konfigurationsschritte für Gen6-Geräte

Während bei den neueren Gerätegenerationen Gen7 und Gen8 das Einspielen des neuesten Firmware-Updates ausreicht, um das Risiko vollständig zu eliminieren, erfordern Gen6-Geräte zwingend eine manuelle Bereinigung der LDAP-Konfiguration. SonicWall hat hierzu eine Sicherheitswarnung herausgegeben. Administratoren müssen die folgenden sechs Schritte exakt im System ausführen:

1. LDAP-Konfiguration bereinigen: Löschen der bestehenden LDAP-Konfiguration, die den Eintrag userPrincipalName im Feld „Qualified login name“ nutzt.
2. Benutzercache leeren: Vollständiges Entfernen aller lokal im Cache gespeicherten oder aufgelisteten LDAP-Benutzer auf der Appliance.
3. User Domain zurücksetzen: Entfernen der konfigurierten SSL-VPN „User Domain“, wodurch das System automatisch auf den Standardwert LocalDomain zurückfällt.
4. Systemneustart: Durchführung eines vollständigen Neustarts der Firewall-Appliance.
5. LDAP-Konfiguration neu erstellen: Erneutes Aufsetzen der LDAP-Verbindung, wobei zwingend darauf zu achten ist, userPrincipalName im Feld „Qualified login name“ freizulassen.
6. Sauberes Backup anlegen: Erstellung eines neuen System-Backups, um zu verhindern, dass bei einer späteren Wiederherstellung die alte, verwundbare LDAP-Konfiguration eingespielt wird.

Betroffene Hardware: End-of-Life-Status

Ein verschärfender Risikofaktor für Unternehmen ist der Lebenszyklus der betroffenen Hardware. Die Gen6 SSL-VPN-Appliances von SonicWall haben in diesem Jahr, am 16. April 2026, offiziell ihren End-of-Life-Status (EOL) erreicht. Das bedeutet, dass der Hersteller für diese Hardwareklasse ab diesem Zeitpunkt keine regulären Sicherheitsupdates oder technischen Support mehr bereitstellt. Die anhaltende Ausnutzung der Schwachstelle erhöht den Druck auf Unternehmen, diese Altgeräte zeitnah durch aktiv unterstützte Nachfolgemodelle zu ersetzen.

Für die forensische Untersuchung bestehender Systeme nennt ReliaQuest konkrete Indikatoren (Indicators of Compromise, IoC). Administratoren sollten ihre Protokolle gezielt nach dem Signal sess="CLI" durchsuchen. Dieser String deutet auf eine skriptbasierte oder automatisierte VPN-Authentifizierung hin, wie sie von den Angreifern genutzt wird. Weitere Alarmzeichen in den Windows- und Netzwerkprotokollen sind die Event-IDs 238 und 1080 sowie VPN-Anmeldevorgänge, die sich geografisch oder infrastrukturell auf verdächtige Virtual Private Server (VPS) oder kommerzielle VPN-Anbieter zurückverfolgen lassen.