it

해커, 미완전한 패치로 SonicWall VPN MFA 우회

발행: (2026년 5월 21일 AM 06:19 GMT+9)
7 분 소요
원문: Bleeping Computer

출처: Bleeping Computer

위협 행위자는 VPN 자격 증명을 무차별 대입(brute‑force)하고 SonicWall Gen6 SSL‑VPN 장치의 다중 인증(MFA)을 우회하여 랜섬웨어 공격에 사용되는 도구를 배포했습니다. 침입 중 해커는 로그인, 네트워크 정찰, 내부 시스템에 대한 자격 증명 재사용 테스트, 로그아웃을 수행하는 데 30~60분이 걸렸습니다.

SonicWall은 CVE‑2024‑12802에 대한 보안 권고에서 Gen6 장치에 펌웨어 업데이트만 적용하는 것으로는 취약점을 완전히 완화할 수 없으며, LDAP 서버를 수동으로 재구성해야 한다고 경고했습니다. 이를 수행하지 않으면 MFA 보호를 우회할 가능성이 남습니다.

사이버보안 기업 ReliaQuest의 연구원들은 2월에서 3월 사이에 발생한 여러 침입에 대응했으며, “중간 정도의 신뢰도로 CVE‑2024‑12802가 실제로 악용된 최초 사례이며, 여러 환경에 걸쳐 SonicWall 장치를 표적으로 삼았다”고 평가했습니다. 연구원들은 조사한 환경에서 장치가 업데이트된 펌웨어를 실행하고 있어 패치된 것으로 보였지만, 필요한 복구 절차가 완료되지 않아 여전히 취약했음을 지적했습니다.

Gen7 및 Gen8 장치에서는 최신 펌웨어 버전으로 업데이트하기만 하면 CVE‑2024‑12802 악용 위험을 완전히 제거할 수 있습니다.

악용 활동

ReliaQuest에 따르면 한 사건에서 해커는 내부 네트워크에 접근해 30분도 채 되지 않아 도메인에 가입된 파일 서버에 도달했습니다. 이후 공유된 로컬 관리자 비밀번호를 이용해 RDP를 통해 원격 연결을 설정했습니다.

연구원들은 공격자가 Cobalt Strike 비콘(명령‑제어 통신을 위한 사후 활용 프레임워크)과 취약 드라이버를 배포하려 시도했으며, 이는 BYOVD(Bring Your Own Vulnerable Driver) 기법을 사용해 엔드포인트 보호를 비활성화하려는 것으로 보였습니다. 그러나 설치된 엔드포인트 탐지 및 대응(EDR) 솔루션이 비콘과 드라이버 로드를 차단했습니다.


관찰된 공격 흐름출처: ReliaQuest

해커가 의도적으로 로그아웃한 뒤 며칠 뒤 다른 계정으로 다시 로그인하는 행동을 기반으로, 연구원들은 위협 행위자가 초기 접근 권한을 다른 위협 그룹에 판매하는 브로커일 가능성이 높다고 판단했습니다.

작년에는 Akira 랜섬웨어 조직이 SonicWall SSL VPN 장치를 표적으로 삼아 MFA가 활성화된 계정에도 로그인에 성공했다는 보고가 있었지만, 구체적인 방법은 확인되지 않았습니다.

CVE‑2024‑12802 대응 방법

CVE‑2024‑12802 취약점은 UPN 로그인 형식에 대한 MFA 적용이 누락돼, 유효한 자격 증명을 가진 공격자가 직접 인증하고 MFA 요구를 우회할 수 있게 합니다.

Gen6 SonicWall 장치는 최신 펌웨어로 업데이트한 뒤, 다음과 같은 복구 절차를 공급업체 권고(https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0001)에 따라 진행해야 합니다:

  1. “Qualified login name” 필드에 userPrincipalName이 포함된 기존 LDAP 구성을 삭제
    • 로컬에 캐시되거나 목록에 있는 LDAP 사용자 제거
    • 설정된 SSL VPN “User Domain”을 제거(기본값 LocalDomain으로 복구)
    • 방화벽 재부팅
  2. “Qualified login name”에 userPrincipalName 없이 LDAP 구성을 새로 생성
  3. 이후 취약한 LDAP 구성을 복원하지 않도록 새 백업을 생성

연구진은 분석된 침입 사건들의 초기 접근이 CVE‑2024‑12802 악용을 통해 여러 산업 및 지역에서 이루어졌다고 높은 확신을 가지고 있습니다. ReliaQuest에 따르면, 악성 로그인 시도는 로그에 정상적인 MFA 흐름으로 나타나 방어 측이 MFA가 정상 작동한다고 오인하게 만들었습니다.

이 공격들의 주요 지표는 다음과 같습니다:

  • sess="CLI" 신호(스크립트 또는 자동화된 VPN 인증을 시사)
  • 이벤트 ID 2381080
  • 의심스러운 VPS/VPN 인프라에서 발생한 VPN 로그인

Gen6 SSL‑VPN 장치는 2026년 4월 16일에 수명이 종료(EOL)되어 더 이상 보안 업데이트를 받지 않으므로, 최신 버전으로 마이그레이션하고 적극적으로 지원되는 제품을 사용하는 것이 일반적으로 권장됩니다.

0 조회
#SonicWall #VPN #MFA bypass #CVE-2024-12802 #ransomware #LDAP reconfiguration #security advisory #vulnerability exploitation
원문 보기
Share:
Back to Blog

관련 글

더 보기 »