Akira exploite CVE-2024-12802 pour contourner le MFA des SonicWall Gen6 SSL-VPN. Le patch firmware seul ne suffit pas : une reconfiguration LDAP manuelle est indispensable pour stopper les attaques ransomware en cours.
En bref
- Le groupe Akira exploite CVE-2024-12802 pour contourner le MFA sur les pare-feux SonicWall Gen6 SSL-VPN et déployer son ransomware
- Appareils affectés : SonicWall Gen6 avec firmware non reconfiguré manuellement après le patch — le correctif seul ne suffit pas
- Action requise : appliquer le firmware ET reconfigurer manuellement le serveur LDAP selon l'advisory SonicWall
Les faits
Depuis le début de l'année 2026, le groupe de ransomware Akira mène une campagne intensive contre les organisations utilisant des équipements SonicWall Gen6 SSL-VPN. L'attaque combine deux vecteurs : le brute-force de credentials valides et l'exploitation de CVE-2024-12802, une vulnérabilité qui permet de contourner l'authentification multi-facteurs (MFA) sur ces appareils, même lorsque celle-ci est activée et configurée.
CVE-2024-12802 est une faille de logique d'application dans la gestion du format de connexion UPN (User Principal Name). Concrètement, lorsqu'un attaquant s'authentifie en utilisant ce format UPN au lieu du format standard, le mécanisme d'enforcement du MFA n'est pas déclenché. L'attaquant peut ainsi s'authentifier avec des identifiants valides — obtenus par brute-force, credential stuffing ou achat sur le darknet — et accéder directement au VPN sans passer par le second facteur.
Le point le plus préoccupant de cette vulnérabilité a été mis en évidence par SonicWall lui-même dans son advisory de sécurité : l'installation du firmware corrigé ne résout pas complètement le problème. Une étape manuelle supplémentaire est requise — la reconfiguration du serveur LDAP sur l'appliance. Les organisations qui ont simplement mis à jour le firmware sans suivre cette étape restent exposées. Cette subtilité a conduit à une vague de compromissions sur des réseaux dont les équipes pensaient être protégées.
Les attaques Akira ciblant SonicWall ont une chronologie bien documentée. Les chercheurs de Darkreading et BleepingComputer ont suivi la campagne depuis septembre 2025, quand Akira a commencé à exploiter des failles SonicWall de façon opportuniste. En 2026, la campagne s'est structurée : les affiliés Akira utilisent des scanners automatisés pour identifier les boîtiers SonicWall Gen6 exposés sur Internet, testent les credentials via des listes de mots de passe courants enrichies par des bases de données volées, puis tentent la connexion au format UPN pour exploiter CVE-2024-12802.
Une fois l'accès VPN obtenu, le groupe suit un schéma opérationnel rodé : reconnaissance interne avec des outils comme NetScan et Advanced IP Scanner, déplacement latéral via PsExec ou WMI, vol de données vers des serveurs de staging avant chiffrement, puis déploiement du ransomware Akira. Le délai moyen entre l'accès initial et le déploiement du ransomware observé dans les incidents analysés est de 3 à 7 jours, selon les données de Darkreading publiées en mai 2026.
L'affaire Marquis, rendue publique en janvier 2026, illustre une autre facette des risques SonicWall : la société a poursuivi SonicWall après avoir découvert que l'attaquant n'avait pas exploité une faille dans son pare-feu local, mais avait accédé aux sauvegardes cloud de configuration de SonicWall. Ces sauvegardes contenaient des données de configuration chiffrées en AES-256 ainsi que des codes de récupération MFA (scratch codes). Une fois ces fichiers récupérés, l'attaquant disposait de tout le nécessaire pour accéder au réseau, contournant ainsi toutes les protections locales.
Le nombre de boîtiers SonicWall Gen6 exposés sur Internet reste élevé. Selon des scans Shodan et Censys réalisés par des chercheurs indépendants en mai 2026, entre 180 000 et 220 000 appareils SonicWall seraient accessibles publiquement sur le port 443, dont une proportion significative non patchés ou mal configurés post-patch. En France, l'ANSSI a émis une alerte spécifique sur les VPN SSL en général — SonicWall, Fortinet, Ivanti — rappelant que ces équipements constituent l'un des vecteurs d'entrée ransomware les plus fréquents observés dans ses interventions CERT.
Akira reste l'un des groupes ransomware les plus actifs en 2026. Apparu en 2023, le groupe a compromis plus de 700 organisations en deux ans selon le FBI, ciblant préférentiellement les PME et ETI dans les secteurs de la santé, de la finance et de l'industrie manufacturière. Sa technique de double extorsion — chiffrement + menace de publication — est couplée à un site de négociation sur Tor particulièrement soigné. Le groupe encaisse des rançons dont les montants observés varient entre 200 000 et 4 millions de dollars selon la taille de la victime.
Impact et exposition
Tout boîtier SonicWall Gen6 avec SSL-VPN activé, accessible depuis Internet, et dont le serveur LDAP n'a pas été reconfiguré manuellement après patch est exposé. Les organisations utilisant SonicWall avec authentification LDAP/Active Directory sont particulièrement à risque. Les PME sans équipe IT dédiée qui ont déployé le firmware sans suivre l'intégralité de l'advisory représentent la cible principale de la campagne Akira.
Recommandations
- Immédiat : vérifier la version firmware de chaque boîtier SonicWall Gen6 — mise à jour vers SonicOS 7.x si ce n'est pas fait
- Critique : reconfigurer manuellement le serveur LDAP selon l'advisory SonicWall PSIRT relatif à CVE-2024-12802 — l'update firmware seul ne suffit pas
- Activer les logs d'authentification VPN et alerter sur toute connexion via format UPN inhabituel
- Désactiver temporairement la fonctionnalité SSL-VPN sur les boîtiers non encore remédiés et privilégier un accès alternatif sécurisé
- Auditer les sauvegardes de configuration stockées dans le cloud SonicWall — évaluer si elles contiennent des credentials ou des codes MFA de récupération
Alerte critique — patch incomplet
Installer la mise à jour firmware SonicWall NE SUFFIT PAS. La reconfiguration manuelle du serveur LDAP est obligatoire. Les organisations ayant uniquement appliqué le firmware restent exposées à CVE-2024-12802 et aux attaques Akira.
Comment vérifier que mon SonicWall Gen6 est correctement reconfiguré après patch ?
Connectez-vous à l'interface d'administration SonicWall, naviguez vers Users > Settings > LDAP. Vérifiez que la configuration LDAP a été sauvegardée après l'upgrade firmware — une simple mise à jour n'importe pas la reconfiguration requise. Consultez l'advisory PSIRT SonicWall référencé sous CVE-2024-12802 pour les étapes exactes. En cas de doute, ouvrez un ticket support SonicWall ou faites appel à votre prestataire de sécurité réseau pour vérification.
Votre VPN est-il correctement sécurisé ?
Ayi NEDJIMI audite les configurations VPN et pare-feu pour identifier les expositions avant qu'Akira ou un autre groupe ne le fasse à votre place.
Demander un auditUn projet cybersécurité ?
Expert dispo · Réponse 24h