พบรายงานการโจมตีจากผู้ไม่ประสงค์ดีทำการ Brute-force ข้อมูลสิทธิ์เข้าใช้งาน VPN และสามารถข้ามผ่านระบบการยืนยันตัวตนแบบหลายปัจจัย (MFA) บนอุปกรณ์ SonicWall Gen6 SSL-VPN เพื่อติดตั้งเครื่องมือสำหรับเตรียมการโจมตีด้วยแรนซัมแวร์โดยในสถานการณ์จริง
แฮกเกอร์ใช้เวลาสั้น ๆ เพียง 30 ถึง 60 นาทีเท่านั้นในการล็อกอินเข้ามา สแกนเครือข่ายภายใน ทดสอบการใช้สิทธิ์ซ้ำกับระบบอื่น และล็อกเอาต์ออกไป ซึ่งพฤติกรรมที่สลับใช้บัญชีต่าง ๆ และกลับเข้ามาใหม่ในอีกไม่กี่วันต่อมา ทำให้นักวิจัยจากบริษัทความปลอดภัยไซเบอร์ ReliaQuest เชื่อว่าคนร้ายกลุ่มนี้ทำหน้าที่เป็น Initial Access Broker (IAB) หรือผู้ค้าสิทธิ์เข้าถึงเข้าระบบรายแรก เพื่อนำช่องทางนี้ไปขายต่อให้กลุ่มแรนซัมแวร์ผลิตซ้ำความเสียหายในวงกว้าง
ความน่ากลัวของช่องโหว่รหัส CVE-2024-12802 นี้ เกิดจากการขาดการบังคับใช้ MFA เมื่อมีการล็อกอินด้วยฟอร์แมต UPN เปิดทางให้แฮกเกอร์ที่มีสิทธิ์การใช้งานที่ถูกต้องสามารถยืนยันตัวตนเข้าไปได้โดยตรงและข้ามส่วนของ MFA ไปทันที ยิ่งไปกว่านั้น สัญญาณการล็อกอินที่ผิดปกติเหล่านี้ยังคงแสดงในบันทึกกิจกรรม (Logs) เสมือนว่าเป็นขั้นตอนการทำงานของ MFA ตามปกติ ส่งผลให้ผู้ดูแลระบบถูกลวงตาว่าระบบป้องกันยังทำงานได้ดี ทั้งที่ความจริงถูกบายพาสไปแล้ว โดยนักวิจัยแนะให้สังเกตตัวส่งสัญญาณ sess=”CLI” ใน Logs ซึ่งบ่งชี้ถึงการยืนยันตัวตนผ่านสคริปต์อัตโนมัติ ร่วมกับการเฝ้าระวัง Event ID 238, 1080 และการเข้าถึงจาก VPS ที่น่าสงสัย
จากการลงพื้นที่ตรวจสอบเหตุการณ์บุกรุกหลายครั้งในช่วงที่ผ่านมา ReliaQuest พบว่าอุปกรณ์ในหลายองค์กรตกเป็นเหยื่อเนื่องจากความเข้าใจผิด โดยตัวอุปกรณ์ดูเหมือนได้รับการแพตช์แล้วเพราะรันเฟิร์มแวร์เวอร์ชันอัปเดต แต่ในความเป็นจริง การติดตั้งเฟิร์มแวร์เพียงอย่างเดียวบนอุปกรณ์ Gen6 ไม่สามารถแก้ไขช่องโหว่นี้ได้อย่างสมบูรณ์ และระบบจะยังคงเปิดช่องให้ข้ามผ่าน MFA ได้หากไม่มีการเข้าไปตั้งค่าระบบ LDAP Server ด้วยตัวเอง ต่างจากอุปกรณ์รุ่นใหม่อย่าง Gen7 และ Gen8 ที่การอัปเดตเฟิร์มแวร์เพียงอย่างเดียวก็เพียงพอในการอุดรอยรั่วนี้ได้โดยสิ้นเชิง
แม้ว่าในบางกรณี ระบบตรวจจับและป้องกันที่ปลายทาง (EDR) จะสามารถบล็อกเครื่องมืออันตรายอย่าง Cobalt Strike beacon และเทคนิค Bring Your Own Vulnerable Driver (BYOVD) ที่แฮกเกอร์พยายามใช้ปิดระบบความปลอดภัยไว้ได้ทัน แต่การทิ้งให้อุปกรณ์มีช่องโหว่ก็ยังเป็นความเสี่ยงขั้นวิกฤต โดยเฉพาะอย่างยิ่งเมื่ออุปกรณ์ Gen6 SSL-VPN ได้เข้าสู่สถานะ End-of-Life (EOL) ไปแล้วเมื่อวันที่ 16 เมษายนที่ผ่านมา ซึ่งจะไม่มีการออกอัปเดตความปลอดภัยใหม่อีกต่อไป ทางเลือกที่ปลอดภัยที่สุดในระยะยาวคือการเปลี่ยนไปใช้รุ่นปัจจุบันที่ยังได้รับการสนับสนุน แต่สำหรับองค์กรที่ยังจำเป็นต้องใช้งานอุปกรณ์ Gen6 อยู่ จะต้องรีบดำเนินการแก้ไขตามขั้นตอนขั้นเด็ดขาดทันที
ขั้นตอนการแก้ไขช่องโหว่ CVE-2024-12802 สำหรับอุปกรณ์ Gen6
ผู้ดูแลระบบจำเป็นต้องอัปเดตเฟิร์มแวร์ล่าสุด และต้องปฏิบัติตามขั้นตอนการปฏิรูปพฤติกรรมระบบด้วยตัวเอง ดังต่อไปนี้:
1. ลบการตั้งค่า LDAP เดิม ที่มีการใช้ userPrincipalName ในช่อง “Qualified login name”
2. ลบรายชื่อผู้ใช้ LDAP ที่มีการจัดเก็บแคชไว้ในเครื่อง (Locally cached/listed LDAP users)
3. ลบช่อง “User Domain” ของ SSL VPN ที่ตั้งค่าไว้ (เพื่อให้ระบบเปลี่ยนกลับไปใช้ LocalDomain)
4. ทำการรีบูต (Reboot) ตัวไฟร์วอลล์
5. สร้างการตั้งค่า LDAP ขึ้นมาใหม่ โดยห้ามระบุ userPrincipalName ในช่อง “Qualified login name”
6. ทำการสำรองข้อมูล (Backup) ใหม่ทันที เพื่อป้องกันไม่ให้มีการนำไฟล์สำรองเก่าที่มีการตั้งค่า LDAP แบบมีช่องโหว่กลับมาใช้งานอีกในอนาคต
