2026-05-28 04:10:17 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： SonicWallGen6系列SSL-VPN设备存在高危漏洞CVE-2024-12802，CVSS评分为9.1。该漏洞允许攻击者利用SAM账户格式（DOMAIN\user）登录时绕过多因素身份验证（MFA）。Akira勒索软件组织正积极利用此漏洞进行攻击。修复该漏洞不仅需要更新固件，还必须执行六项手动LDAP重新配置步骤，否则将无法真正解决问题。 综合评分： 95 文章分类： 威胁情报,漏洞分析,应急响应,网络安全,解决方案

cover_image

紧急：Akira勒索组织利用9.1分高危漏洞！ SonicWall Gen6 LDAP MFA完整利用链还原

原创

威胁情报中心威胁情报中心

奇安信威胁情报中心

2026年5月27日 11:26 北京

在小说阅读器读本章

去阅读

执行摘要

SonicWall Gen6系列SSL-VPN设备存在关键身份验证绕过漏洞CVE-2024-12802（CVSS 9.1），该漏洞自2026年2月起被Akira勒索软件即服务组织积极利用。漏洞根因在于SonicWall Gen6设备对Active Directory两种登录格式（SAMAccountName与UserPrincipalName）的差异化处理机制：当攻击者使用SAM账户名称格式（DOMAIN\user）进行认证时，设备在成功验证密码后绕过MFA强制执行层，而使用用户主体名称格式（[email protected]）时则正常触发MFA验证。

该漏洞的修复存在重大误区。SonicWall于2025年发布的固件更新仅修复了固件版本检测问题，但未清除残留的LDAP配置，导致大量安全团队在完成固件升级后误判漏洞已修复。实际利用仍需执行六项手动LDAP重新配置步骤。漏洞扫描器仅检测固件版本会产生“绿色合规”虚假状态，而实际攻击中攻击者仅需平均13次暴力破解尝试即可获得有效凭证，从VPN认证到抵达内部文件服务器的中位时间不足30分钟。

奇安信威胁情报中心监测显示，该漏洞利用活动主要集中于北美和欧洲地区，涉及IP地址段AS62240（Clouvider Limited）和AS23470（ReliableSite.Net LLC）等VPN托管服务提供商基础设施。综合评估，国内企业受该漏洞直接影响相对有限，但若存在SonicWall Gen6设备部署仍需立即采取修复措施。

漏洞技术根因分析

CWE-305：关键功能缺少身份验证

CVE-2024-12802的根本缺陷在于设备对SAMAccountName认证路径缺少MFA强制执行挂钩。根据MITRE CWE分类标准，该漏洞属于CWE-305类别——关键功能缺少身份验证。具体而言，当SonicWall Gen6设备配置为通过LDAP集成Microsoft Active Directory时，存在两条并行的认证路径：

UserPrincipal Name（UPN）路径采用现代格式[email protected]，该路径完整执行MFA强制执行流程，在密码验证成功后触发一次性密码、硬件令牌或推送通知挑战。Security Account Manager（SAM）账户名称路径采用传统格式DOMAIN\user，该路径在密码验证成功后直接完成认证流程，完全跳过MFA强制执行层。

这种差异源于SonicWall LDAP集成模块的路由逻辑缺陷：当设备接收到SAM格式认证请求时，认证请求被路由至一个代码执行路径，该路径不存在MFA强制执行钩子，导致认证流程在密码验证成功后直接放行，绕过所有二次验证机制。

攻击向量与利用链

攻击者利用该漏洞的完整攻击链包括以下阶段：

初始访问阶段，攻击者使用自动化工具对SAM登录路径发起暴力破解尝试。由于SAM路径认证失败不生成标准MFA失败告警，安全监控系统将这些尝试识别为普通登录失败事件而非MFA绕过攻击。根据ReliaQuest记录，部分案例中攻击者仅需13次暴力破解尝试即可获取有效凭证。

认证绕过阶段，攻击者使用获取的有效凭证以SAMAccountName格式完成认证，设备成功验证密码后直接授予VPN访问权限，全程未触发任何MFA挑战。

内网漫游阶段，获得VPN访问权限后，攻击者在30分钟内可抵达内部文件服务器。Akira勒索软件组织在多起事件中展现出快速的内网横向移动能力，从初始访问到数据外泄的时间窗口极短。

威胁行为体归因：Akira勒索软件即服务组织

组织背景与活动特征

Akira是一个活跃的勒索软件即服务（Ransomware-as-a-Service, RaaS）运营组织，自2023年起在全球范围内开展网络犯罪活动。该组织采用双重勒索模式，既加密受害者的数据又威胁公开泄露敏感信息以迫使支付赎金。

奇安信威胁情报中心关联分析显示，Akira组织与本次SonicWall CVE-2024-12802漏洞利用活动存在明确关联。外部情报数据显示，IP地址77.247.126.239（AS62240）在2024年5月即被标记为暴力破解活动相关基础设施，并关联至Akira勒索软件及多个SonicWall历史漏洞（CVE-2022-29499、CVE-2024-40766）。

战术技术演变

Akira组织针对SonicWall设备的攻击战术经历了显著演变：

2025年大规模 exploitation阶段：Akira组织针对SonicWall SSL-VPN设备发动首次大规模攻击活动，主要利用CVE-2024-40766（SonicWall SMA设备身份验证绕过漏洞）等已知漏洞。这阶段攻击展现出该组织对SonicWall设备的持续关注和技术积累。

2026年高级规避阶段：CVE-2024-12802漏洞披露后，Akira组织升级攻击手法，从依赖固件漏洞利用转向利用配置缺陷实现的MFA绕过。该手法更难被安全监控体系检测，因为攻击流量在日志中呈现为正常的成功认证事件。

2026年5月加速攻击阶段：自2026年5月20日起，Akira组织加速针对SonicWall Gen6设备的攻击活动，受害者涉及制造业、医疗保健和专业服务行业。该时间节点与SonicWall Gen6于2026年4月16日到达生命周期终止状态高度相关——设备不再获得官方安全更新，大幅提升了攻击者的利用信心。

关联基础设施分析

根据奇安信威胁情报中心对IOC的富化分析，用于CVE-2024-12802漏洞利用的基础设施呈现以下特征：

| IP地址 | ASN | 组织 | 历史关联 | | — | — | — | — | | 77.247.126.239 | AS62240 | Clouvider Limited | 暴力破解活动、Akira勒索软件关联 | | 104.238.220.216 | AS23470 | ReliableSite.Net LLC | SonicWall历史漏洞利用（CVE-2018-13379、CVE-2020-12812、CVE-2023-48788） |

77.247.126.239的历史活动记录显示，该IP在2024年5月被标记为BRUTE_FORCER，关联多个CVE漏洞利用和Akira勒索软件活动。104.238.220.216则关联至SonicWall多个历史漏洞，包括著名的CVE-2018-13379（FortiNet弱加密漏洞）和CVE-2020-12812。这些历史记录表明，Akira组织长期利用托管在VPN服务提供商基础设施上的节点进行攻击活动，形成了相对稳定的基础设施组合。

MITRE ATT&CK技术映射

战术技术对应关系

攻击流程重构

初始侦察 → 暴力破解尝试（SAM路径） → 获取有效凭证 → MFA绕过认证
→ VPN会话建立 → 内网扫描 → 横向移动 → 数据暂存 → 勒索软件部署

#

失陷指标详解

IP地址指标

以下IP地址已确认为与CVE-2024-12802漏洞利用活动相关：

77.247.126.239（Clouvider Limited，AS62240）：该IP在2024年5月被首次标记为暴力破解活动基础设施，当前场景标签为”已使用”。OSINT情报显示该IP关联至Akira勒索软件活动和多个SonicWall CVE漏洞利用。地理位置为美国加利福尼亚州洛杉矶。

193.163.194.7：该IP参与CVE-2024-12802漏洞利用活动，需纳入网络边界监控和防火墙阻断规则。

45.86.208.240：与CVE-2024-12802漏洞利用活动相关，建议在SIEM中创建专项检测规则。

104.238.205.105：参与CVE-2024-12802漏洞利用活动的基础设施节点。

142.252.99.59： Akira组织使用的攻击节点之一。

104.238.220.216（ReliableSite.Net LLC，AS23470）：该IP历史关联多个SonicWall漏洞利用活动，包括CVE-2018-13379、CVE-2020-12812、CVE-2023-48788等。OSINT记录显示该IP关联至”Huntress Below”恶意活动标注。当前场景为”已使用”。

文件哈希指标

d080f553c9b1276317441894ec6861573fa64fb1fae46165a55302e782b1614d：SHA-256格式，关联至本次CVE-2024-12802漏洞利用相关恶意组件。建议部署至EDR和杀软进行静态检测。

1b153070934033deace7f04e77a72abe4e7e259271f885e25d81dc6337a9313d：SHA-256格式，与漏洞利用活动相关联。

国内影响评估

直接影响范围

综合本次威胁情报分析，CVE-2024-12802漏洞利用活动对国内企业和机构的直接影响相对有限，主要依据如下：

目标区域分布：本次攻击活动受害者和攻击者基础设施均集中于北美和欧洲地区。受害行业（制造业、医疗保健、专业服务）在北美和欧洲企业中的部署密度显著高于国内。IP地址富化结果显示，所有攻击基础设施均托管于美国境内ASN（AS62240、AS23470），未见国内ASN节点参与。

设备版本分布：SonicWall Gen6设备（TZ300至NSa 9250系列）在北美和欧洲企业网络中有较大规模部署，而在国内企业网络中的应用范围相对较小。国内企业更多采用华为、华三、深信服等国产网络安全设备构建远程接入基础设施。

攻击者重点：Akira勒索软件组织的攻击活动以北美和欧洲企业为主要目标，国内并非该组织当前的重点攻击区域。

间接风险警示

尽管直接受影响范围有限，国内安全团队仍需关注以下风险：

跨境业务暴露：与北美或欧洲企业存在业务关联的国内机构，其SonicWall Gen6设备若被用于跨境VPN连接，可能成为攻击者经由供应链迂回攻击的跳板。

历史漏洞风险：104.238.220.216等IP地址关联至SonicWall多个历史漏洞（CVE-2018-13379等），这些漏洞在国内部分存量设备中可能仍未修复。

攻击技术迁移：Akira组织利用SAMAccountName绕过MFA的战术技术可能已被其他威胁行为体借鉴，若该手法扩散至针对其他VPN设备厂商，可能对国内企业产生影响。

建议监测措施

针对本次漏洞利用活动，建议国内安全团队采取以下措施：

排查是否存在SonicWall Gen6设备部署，若存在则评估是否使用Active Directory集成
在边界防火墙中添加77.247.126.239等IOC的阻断规则
在SIEM中创建CVE-2024-12802利用活动的专项检测规则
关注 Akira组织未来攻击活动动态，防止战术技术向国内目标扩散

#

完整修复指南

修复失败的根本原因

SonicWall于2025年发布的固件更新是必要的但非充分的修复措施。固件补丁未清除现有LDAP配置，该配置保留了UPN到SAM的认证路径差异。完成固件升级但未执行额外配置变更的设备仍完全可被利用。

更为严重的是，漏洞扫描器通过检查固件版本号生成合规状态报告，会将此类设备显示为“已修复”状态。这种虚假合规状态导致安全团队关闭工单，而实际攻击面仍然完全敞开。

六步修复流程

对于已应用固件更新的SonicWall Gen6设备，必须执行以下六项手动重新配置步骤：

第一步：登录SonicWall管理控制台，导航至Users > Settings > LDAP，删除当前使用userPrincipalName作为登录属性的LDAP服务器配置。这是启用认证路径差异的根配置。

第二步：导航至Users > Local Users and Groups，删除所有从LDAP导入的账户。残留的缓存用户条目可能保留漏洞认证路径，即使完成LDAP重新配置后仍可被利用。

第三步：导航至VPN > SSL-VPN > Server Settings，删除引用Active Directory的SSL VPN User Domain条目。保留该条目将在LDAP配置变更后继续允许认证绕过。

第四步：执行完整的防火墙重启。配置重载不足以使LDAP变更在各认证代码路径中生效，必须执行完整的系统重启。

第五步：使用SAMAccountName作为登录属性重建LDAP服务器配置。在重新启用SSL-VPN访问前，确认MFA强制执行已明确绑定至新的SAMAccountName登录流程。

第六步：完成前述所有步骤后创建并保存新的备份配置文件。从修复前配置恢复将重新引入漏洞LDAP设置，导致所有修复工作失效。

整个修复流程预计耗时20至45分钟每台设备，由经验丰富的网络管理员执行。

Gen6与Gen7差异

需要特别注意的是，修复需求因硬件代际而存在显著差异：

Gen7及更新设备：固件补丁可完整修复漏洞，无需手动LDAP重新配置
Gen6设备：必须执行六步手动修复流程

在混合部署环境中，Gen6设备可能呈现“合规”状态而实际仍可被利用，形成fleet-level安全评估盲区。

结论

CVE-2024-12802漏洞代表了漏洞修复领域的一个典型陷阱：固件版本合规不等于实际安全。SonicWall Gen6设备的认证架构缺陷使得MFA这一关键补偿控制措施在特定攻击路径下完全失效。Akira勒索软件组织利用该漏洞展现出的快速内网漫游能力，进一步放大了漏洞的实际危害。

对于仍运行SonicWall Gen6设备的企业，唯一的缓解措施是严格按照六步流程完成手动修复。由于Gen6已于2026年4月16日终止生命周期，后续不会再有任何官方安全更新支持，建议在条件允许时逐步替换为Gen7或更新的硬件平台。

从国内安全形势角度，本次漏洞利用活动对国内企业的直接威胁有限，但安全团队应持续关注 Akira等活跃勒索软件组织的战术演进，防范攻击技术向国内目标扩散。

参考来源

https://www.decryptiondigest.com/blog/sonicwall-gen6-ssl-vpn-cve-2024-12802-mfa-bypass

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心威胁情报中心威胁情报中心《紧急：Akira勒索组织利用9.1分高危漏洞！ SonicWall Gen6 LDAP MFA完整利用链还原》