Retour au blog
21 mai 20264 min de lecture

Correctifs incomplets sur VPN SonicWall : contournement du MFA et risque ransomware

La menace cachée : comment des correctifs incomplets sur les VPN SonicWall contournent le MFA et exposent les entreprises au ransomware

Le périmètre numérique d'une organisation repose de plus en plus sur ses solutions d'accès à distance. Les VPN, pilier du travail à distance sécurisé, sont constamment ciblés. Des reportages comme celui de BleepingComputer sur les incidents SonicWall Gen6 SSL-VPN mettent en lumière un angle mort fréquent : les correctifs incomplets, menant au contournement de l'authentification multifacteur (MFA) et à des voies directes vers le déploiement de ransomware.

L'illusion du « système corrigé » : zoom sur CVE-2024-12802

Des acteurs malveillants ont réussi des attaques par force brute sur des identifiants VPN et ont contourné le MFA sur des appliances SonicWall Gen6. Ce n'était pas dû à une faille fondamentale du MFA, mais à une mitigation incomplète de CVE-2024-12802. De nombreuses organisations se croyaient protégées après une mise à jour firmware, alors que la vulnérabilité persistait faute d'une reconfiguration manuelle critique du serveur LDAP.

« Corrigé » ne signifie pas toujours « protégé ». Sur Gen6, la mise à jour firmware n'était qu'une première étape. La remédiation complète impliquait notamment :

  • Supprimer les configurations LDAP utilisant userPrincipalName.
  • Retirer les utilisateurs LDAP mis en cache localement.
  • Supprimer le « User Domain » SSL VPN configuré.
  • Redémarrer le pare-feu.
  • Recréer la configuration LDAP sans userPrincipalName.
  • Créer une nouvelle sauvegarde pour éviter de restaurer une configuration vulnérable.

Sans ces étapes, l'application du MFA pour le format de connexion UPN restait absente, laissant le système exposé à un contournement d'authentification avec des identifiants valides.

Vecteur d'attaque : de l'accès VPN au déploiement de ransomware

Des chercheurs ReliaQuest ont observé des chaînes d'attaque où les adversaires obtenaient un accès initial via ces VPN SonicWall vulnérables en quelques minutes. Ils enchaînaient reconnaissance réseau, réutilisation d'identifiants et recherche de persistance. Dans un incident, ils atteignaient un serveur de fichiers joint au domaine en 30 minutes, puis tentaient de déployer des beacons Cobalt Strike et des pilotes vulnérables pour désactiver la protection des endpoints. Dans ce cas précis, des solutions EDR ont bloqué ces outils de post-exploitation.

Cette escalade rapide illustre la vélocité des menaces actuelles. Contourner le MFA transforme un point d'accès distant apparemment sûr en porte d'entrée critique.

Risques métier et implications techniques

  • Exposition au ransomware : accès direct au réseau interne, exfiltration, chiffrement et interruption d'activité.
  • Compromission d'identifiants : mouvement latéral et persistance facilités.
  • Atteinte à la réputation : violations de données et arrêts opérationnels.
  • Sanctions réglementaires : systèmes mal sécurisés pouvant entraîner des amendes lourdes.
  • Temps d'arrêt : réponse et reprise coûteuses et longues.

Gen6 : bombe à retardement et fin de vie

Les appliances SonicWall Gen6 SSL-VPN ont atteint leur fin de vie (EOL) le 16 avril 2026. Elles ne reçoivent plus de correctifs de sécurité et deviennent des actifs à haut risque. Maintenir du matériel EOL sur des fonctions réseau critiques, notamment les VPN, invite les attaquants.

Sur Gen7 et Gen8, une simple mise à jour firmware mitige entièrement CVE-2024-12802. L'écart souligne l'importance de la gestion du cycle de vie et des migrations vers des versions supportées.

Recommandations opérationnelles

  1. Gestion des correctifs au-delà du firmware : lisez l'avis de sécurité complet du fournisseur et appliquez toutes les étapes recommandées.
  2. Cycle de vie strict : inventoriez le matériel et logiciels EOL ; planifiez remplacement ou migration. Pour Gen6 SonicWall, migration immédiate.
  3. Durcissement des passerelles VPN : mots de passe robustes, contrôles d'accès stricts, audits réguliers des comptes.
  4. Appliquer et vérifier le MFA : auditez les configurations sur tous les flux d'authentification.
  5. Architecture Zero Trust : micro-segmentation, moindre privilège, vérification continue.
  6. Surveillance SOC/MDR renforcée : anomalies dans les logs VPN ; indicateurs publics citent sess="CLI", événements 238 et 1080, connexions depuis IP ou VPS suspectes.
  7. Tests d'intrusion et évaluations de vulnérabilités : des tiers indépendants détectent des écarts de configuration que les équipes internes manquent.

ITCS VIP sécurise votre accès à distance

ITCS VIP accompagne les entreprises sur l'accès distant sécurisé, la gestion des correctifs et la détection :

  • Durcissement et audits de configuration VPN, avec vérification de toutes les étapes de remédiation.
  • Gestion du cycle de vie et migrations depuis le matériel EOL.
  • Mise en œuvre Zero Trust adaptée à votre organisation.
  • Services SOC/MDR : détection 24/7, réponse à incident et chasse proactive d'IoC, y compris liés aux incidents SonicWall.
  • Conseil en gestion des vulnérabilités et correctifs, avec validation des étapes manuelles critiques.

Ne laissez pas des correctifs incomplets ou du matériel EOL exposer votre entreprise au ransomware. La sécurité proactive exige de valider l'efficacité des mises à jour, pas seulement de les installer.

Conclusion

Le contournement du MFA sur VPN SonicWall est une leçon sur le patch management rigoureux et une approche holistique de la cybersécurité. De petits oublis créent des failles que les acteurs sophistiqués exploitent vite. Les entreprises doivent dépasser le correctif superficiel, adopter le Zero Trust et surveiller en continu leur périmètre numérique.

Pour renforcer votre accès distant et vous protéger des menaces avancées avec ITCS VIP, contactez notre équipe dès aujourd'hui.