Une faille d’authentification pourtant corrigée depuis 2025 a continué d’exposer des accès VPN SonicWall faute de remédiation menée jusqu’au bout.
Les équipements SonicWall Gen6 SSL-VPN avaient bien été patchés contre CVE-2024-12802, mais cela n’a pas empêché des attaquants de les exploiter plusieurs mois après la publication du correctif. Selon ReliaQuest, qui dit avoir observé plusieurs intrusions entre février et mars 2026, le correctif seul ne suffit pas sur ces modèles. Sans reconfiguration manuelle complète, la faille d’authentification critique peut encore servir à contourner la MFA avec des identifiants valides.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Des équipements patchés, mais pas complètement corrigés
Dans le détail, CVE-2024-12802 résulte de la manière dont les VPN SonicWall appliquent l’authentification multifacteur aux comptes issus de l’annuaire d’entreprise. Selon le format choisi au moment de la connexion, UPN ou SAM, le second facteur peut ne pas s’appliquer de la même façon. Avec un couple identifiant-mot de passe valide, un attaquant peut donc ouvrir une session VPN là où la MFA devrait l’arrêter.
SonicWall a publié son avis de sécurité en janvier 2025, avec des versions corrigées de SonicOS. Mais sur les équipements Gen6, la mise à jour ne suffit pas à supprimer le mauvais paramétrage. Il faut aussi reprendre la configuration LDAP à la main. Dans les environnements étudiés par ReliaQuest, cette étape n’avait manifestement pas été menée jusqu’au bout, ce qui a permis aux attaquants de contourner la MFA malgré l’installation du patch.
Une fois connectés au VPN, les attaquants ont cartographié les ressources accessibles, testé la réutilisation d’identifiants sur d’autres systèmes internes et tenté, dans au moins un environnement, de déployer Cobalt Strike ainsi qu’un pilote vulnérable destiné à affaiblir les protections EDR et antivirus. Ces actions rapprochent les intrusions observées des phases de préparation souvent documentées avant des attaques par ransomware.
Si vous administrez encore des SonicWall Gen6 et que la reconfiguration LDAP exigée par l’éditeur n’a pas été effectuée, il va falloir s’en occuper sans tarder. Il est aussi recommandé de surveiller les journaux d’authentification, notamment le signal sess="CLI" associé aux tentatives de connexion automatisées, de passer au peigne fin les droits liés aux comptes VPN, et d’envisager le remplacement de ces anciens modèles, les Gen6 ayant atteint leur fin de vie le 16 avril dernier.
Un patch corrige le code, mais il ne modifie pas forcément des réglages existants qui continuent d’induire un comportement risqué. Sur certains équipements, une option héritée d’anciennes versions peut rester active après mise à jour et maintenir une “voie de contournement” involontaire. C’est fréquent quand la faille dépend d’un enchaînement « logique applicative + configuration », par exemple la manière dont l’authentification est appliquée à une source d’identité. La remédiation complète combine donc mise à jour, vérification de l’état des paramètres, puis tests de connexion pour confirmer que le scénario d’attaque est bien neutralisé.
Quelle est la différence entre un identifiant UPN et un identifiant SAM, et pourquoi cela peut impacter la MFA ?L’UPN (User Principal Name) ressemble à une adresse e-mail (ex. utilisateur@domaine) et sert souvent d’identifiant moderne dans Active Directory. Le format SAM (sAMAccountName) correspond plutôt à un nom de compte “court”, parfois utilisé avec un domaine de type DOMAINE\utilisateur. Selon les produits, ces deux formats peuvent déclencher des chemins de traitement différents (résolution d’identité, mapping LDAP, politiques associées). Si la MFA n’est appliquée que sur une branche de ce traitement, un changement de format au moment de la connexion peut suffire à contourner le second facteur malgré des identifiants valides.
Que signifie “reconfiguration LDAP” sur un VPN, et à quoi sert-elle pour sécuriser l’authentification ?LDAP est le protocole utilisé pour interroger un annuaire d’entreprise (souvent Active Directory) afin de valider l’identité d’un utilisateur et récupérer ses attributs ou groupes. Configurer LDAP sur un VPN, c’est définir comment le VPN recherche le compte (filtres, attributs, DN, format de login), et quelles règles d’accès ou de MFA s’appliquent à ce compte. Une reconfiguration devient nécessaire quand un réglage existant permet une résolution ambiguë des identités ou n’associe pas correctement l’utilisateur à la politique MFA. L’objectif est d’aligner la façon dont le VPN “comprend” l’utilisateur (UPN/SAM, domaine, groupes) avec l’application systématique du second facteur.
