SonicWall Gen6 SSL-VPN機器において、CVE-2024-12802の修正ファームウェアを適用済みに見える環境でも、追加の手動設定が未完了だったためにMFAを回避される攻撃が確認されました。
ReliaQuestは、2026年2月から3月にかけて複数環境で確認した侵入について、CVE-2024-12802の初期の実悪用とみられる活動だと中程度の確度で評価しています。同社によれば、攻撃者はVPN認証情報をブルートフォースし、MFAを回避して内部ネットワークへアクセスしていました。
この記事のサマリー
- SonicWall Gen6 SSL-VPN機器で、CVE-2024-12802の修正ファームウェア適用後もMFA回避が可能な状態が残る事例が確認されました。
- 原因は、Gen6機器ではファームウェア更新に加えて、LDAP設定の削除・再作成など6つの手動手順が必要になるためです。
- ReliaQuestは、2026年2月から3月にかけて複数環境でCVE-2024-12802の実悪用とみられる侵入を確認しました。
- 攻撃者はVPN認証情報をブルートフォースし、MFAを回避して内部ネットワークへ入り、30分以内にファイルサーバへ到達した事例も確認されています。
- 攻撃ではCobalt Strike BeaconやBYOVDによるEDR無効化が試みられ、ランサムウェア前段階の活動と整合します。
- SonicWall Gen6機器は2026年4月16日にEOLを迎えており、継続利用している組織は移行計画も必要です。
- 情シス部門は、ファームウェアバージョンだけでなく、Gen6向けの6つの手動対策、VPNログ、
sess="CLI"、イベントID 238・1080、VPNアカウント権限を確認してください。
何が起きたか
ReliaQuestは、2026年2月から3月にかけて、複数環境でSonicWall SSL-VPNを起点とする侵入を確認しました。
同社は、この活動について、CVE-2024-12802の初期の実悪用とみられるものだと中程度の確度で評価しています。攻撃者はVPNアカウントを自動化された手法でブルートフォースし、MFAを回避して内部ネットワークへアクセスしていました。
ReliaQuestによると、調査対象の環境では、SonicWall機器は修正ファームウェアを適用していたため、一般的な脆弱性管理上はパッチ済みに見える状態でした。しかし、Gen6機器で必要な6つの追加手順が未完了だったため、脆弱な構成が残っていました。
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE | CVE-2024-12802 |
| 製品 | SonicWall SSL-VPN |
| 種別 | MFA回避・認証回避 |
| 原因 | Active Directory連携時のUPN形式とSAM形式の扱いが分離されること |
| NVD上の説明 | 代替アカウント名を悪用し、MFAを回避できる可能性 |
| CISA ADP評価 | CVSS 9.1 Critical |
| 主な影響 | MFAを回避したVPNログイン、内部ネットワークへの不正アクセス |
| 特に注意すべき機器 | SonicWall Gen6 SSL-VPN |
| Gen6で必要な対応 | ファームウェア更新に加え、LDAP設定の手動再構成 |
NVDでは、CVE-2024-12802について、SonicWall SSL-VPNがMicrosoft Active Directoryと連携する際、UPNとSAMアカウント名が別々に扱われることで、MFAを各ログイン方式に独立して設定できてしまい、代替アカウント名を使ってMFAを回避できる可能性があると説明されています。
SonicWallのサポート文書でも、追加のActive Directory UPNサフィックスを使用する環境において、SSLVPN User Domain設定が脆弱かどうかの条件と、CVE-2024-12802に関する緩和手順が示されています。
なぜパッチ適用だけでは不十分だったのか
今回の最大の注意点は、Gen6機器ではファームウェア更新だけで対策が完了しないことです。
ReliaQuestによると、Gen6 SonicWall機器では、CVE-2024-12802の対策としてファームウェア更新に加えて、LDAP構成を削除し、UPN形式を使わない形で再作成する必要があります。パッチを適用しても、既存のLDAP構成が残っている限り、MFA回避につながる脆弱な構成が維持されます。
SonicWallのPSIRTアドバイザリでは、Gen6向けの対策として、Qualified login nameフィールドでuserPrincipalNameを使用している既存LDAP設定の削除、ローカルにキャッシュまたは一覧表示されたLDAPユーザーの削除、SSL VPNのUser Domain削除、再起動、userPrincipalNameを使わないLDAP設定の再作成、新しいバックアップ作成が示されています。
Gen7およびGen8機器では、ファームウェア更新でこのリスクを解消できるとされています。一方、Gen6では手動手順を完了していなければ、ファームウェアバージョン上は更新済みでも、攻撃者に悪用される状態が残ります。
攻撃パターン
ReliaQuestが観測した攻撃では、攻撃者はまずSonicWall VPNアカウントに対してブルートフォースを実施しました。
最短の事例では、わずか13回の試行で有効な認証情報に到達したとされています。成功後、攻撃者は内部ネットワークを調査し、内部システムへの認証情報再利用を試み、通常は30分から60分以内にログアウトしていました。
一部の事例では、攻撃者がVPN認証から30分以内にドメイン参加済みのファイルサーバへ到達し、共有ローカル管理者パスワードを使ってRDP接続を確立しました。その後、Cobalt Strike Beaconの展開と、脆弱なドライバを利用してEDRを無効化するBYOVD攻撃が試みられましたが、導入済みEDRがこれをブロックしています。
ReliaQuestは、攻撃者が任意にログアウトし、数日後に別アカウントで再接続する事例があったことから、この活動は初期アクセスブローカーの動きと整合すると見ています。
監視すべきログの特徴
ReliaQuestは、今回の攻撃で共通する検知シグナルとして、SonicWall認証ログ内のsess="CLI"を挙げています。
sess="CLI"は、対話型ユーザーではなく、スクリプトや自動化されたVPN認証を示唆するセッションタイプです。ReliaQuestは、Event ID 238のVPNログイン失敗、Event ID 1080のSSL VPNゾーンへのログイン成功、疑わしいVPSやVPNインフラからのログインと組み合わせて確認することを推奨しています。
SonicWall SSL-VPNとは
SonicWall SSL-VPNは、社外から社内ネットワークへ安全に接続するために利用されるリモートアクセス機能です。
中小企業から大企業まで幅広く利用され、Active Directoryと連携してユーザー認証を行い、MFAを組み合わせて保護する構成が一般的です。
一方で、SSL-VPN機器はインターネットに公開されることが多く、攻撃者にとって社内ネットワークへの入口になります。VPN認証情報の漏えい、ブルートフォース、MFA回避、脆弱性悪用が成立すると、攻撃者は業務端末を侵害せずに社内ネットワークへ到達できます。
今回問題となったCVE-2024-12802は、SonicWall SSL-VPNがMicrosoft Active Directoryと連携する際、UPN形式とSAM形式のアカウント名の扱いが分かれることで、MFAの適用がログイン形式ごとに独立してしまう問題です。NVDでは、代替アカウント名を悪用することでMFAを回避できる可能性があると説明されています。








