SonicWall CVE-2024-12802 залишає VPN відкритими через MFA bypass

Зловмисники використовують умови SonicWall SSL-VPN MFA bypass, коли Gen6 firewalls після firmware patch усе ще потребують ручної LDAP-реконфігурації.

SonicWall MFA bypass: VPN gateway з патчем і відкритим альтернативним входом

SonicWall CVE-2024-12802 показує, що firmware update не завжди завершує історію з VPN-ризиком. У CVE record описано SSL-VPN MFA bypass через окрему обробку UPN і SAM account names в інтеграціях з Microsoft Active Directory, через що альтернативний спосіб входу може не мати такого самого MFA-захисту [1].

BleepingComputer повідомив 21 травня 2026 року, що атакувальники використовували цю прогалину проти Gen6 SonicWall firewalls, зокрема в середовищах, де firmware вже оновили, але ручний LDAP reconfiguration step не завершили [2]. Це важливо: адміністратор може вважати appliance patched, хоча відкритий authentication path усе ще працює.

Що перевірити на SonicWall VPN

Для ransomware defense це практичний ризик. VPN appliances часто стають initial-access ціллю, бо один робочий обліковий запис може дати вхід у мережу. Тут треба перевірити не лише версію firmware, а й те, чи UPN і SAM login paths однаково вимагають MFA.

Адміністраторам варто звірити Gen6 SSL-VPN deployment з advisory SonicWall, підтвердити зміну LDAP/Active Directory settings після firmware update і переглянути VPN logins на використання різних username formats. Успішний bypass може виглядати як валідний login, а не як заблокована exploit-спроба, тому важливо дивитися authentication history навколо alternate account-name use.

Advisory SonicWall залишається основним джерелом щодо конфігурації для цієї вразливості [3]. Для читачів Gridinsoft це перевірка exposed perimeter: якщо VPN доступний з інтернету й покладається на AD-backed MFA, patch status і identity-provider behavior треба перевіряти разом. Саме так remediation часто провалюється на edge devices: software update встановлено, але потрібна configuration change не виконана.

Джерела

  1. CVE Program, CVE-2024-12802 record. Record
  2. BleepingComputer, “Hackers bypass SonicWall VPN MFA due to incomplete patching,” 21 травня 2026. Матеріал
  3. SonicWall PSIRT, SNWLID-2025-0001 security advisory. Advisory

Оновлення за червень 2026: якщо ви перевіряєте критичні інфраструктурні вразливості, додайте до плану й Netlogon CVE-2026-41089 RCE, яку вже експлуатують у атаках.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.